Saldırgan bakış açısıyla sızma testi ve Red Teaming uygular; açıkları gerçek saldırı senaryolarıyla kanıtlar, düzenli zafiyet yönetimiyle sürekli güvenlik hijyeni kurarız.
KANITISO 27001KVKKNIS2DORA
01Mevcut durumTopoloji, trafik ve bağımlılık görünürlüğü.
02Hedef mimariSegmentasyon, kapasite ve erişilebilirlik tasarımı.
03Kontrollü geçişDeğişiklik penceresi, doğrulama ve geri dönüş planı.
Bu hizmetin ele aldığı kritik başlıklar ve her birinde teslim ettiğimiz sonuç.
Gerçek senaryolarla kanıtlanmış risk
kanıt hazırlığı
Açıkları gerçek saldırı senaryolarıyla ortaya çıkarır, POC kanıtıyla teorik riski somut bulgulara dönüştürürüz.
Önceliklendirilmiş düzeltme yolu
kanıt hazırlığı
Zafiyetleri CVSS v3.1 skorlamasıyla önceliklendirir, remediation rehberiyle hangi açığın önce kapatılacağını netleştiririz.
Denetime hazır raporlama
sözleşme kapsamı
OWASP/MITRE referanslı teknik rapor ve yönetici özetiyle uyum denetimlerine sunulabilir kanıt sağlarız.
Re-test ile doğrulanan düzeltme
sözleşme kapsamı
İlk re-test proje kapsamına dahildir; düzeltmelerin etkisini doğrulayan kanıtlı bir tur sağlarız.
Teslim modeli
Yaklaşım modeli
Hizmeti teslim modeli, yönetişim ve ilgili hizmet alanları açısından nasıl fazladığımızın özeti.
01
Kapsam ve kural belirleme: kritik sistemler için test pencereleri ve geri dönüş planı tanımlar, testi kontrollü ortamda ve önceden tanımlanmış kurallar dahilinde yürütürüz.
02
Saldırgan simülasyonu: dış/iç ağ, web/mobil uygulama, API ve kablosuz testlerini uygular, ihtiyaca göre Red Team ve Purple Team egzersizleri ekleriz.
03
Raporlama ve doğrulama: POC kanıtlı teknik rapor, yönetici özeti ve önceliklendirilmiş zafiyet listesini teslim eder, re-test ile düzeltmeleri doğrularız.
Kullanım bağlamları
Örnek uygulama bağlamları
Bu hizmetin en sık devreye girdiği örnek operasyon yüzeyleri.
Düzenli sızma testi yükümlülüğü
Yılda en az bir kapsamlı pentest ve her major release öncesi uygulama testi gerektiren, düzenlemeye tabi kurumlar.
Savunma zincirinin gerçekçi testi
İnsan, teknoloji ve süreç katmanlarını birlikte test eden gerçekçi Red Team senaryoları isteyen kurumlar.
Açıkların önceliklendirilmesi
Bulunan zafiyetleri CVSS bazlı önceliklendirme ve remediation rehberiyle hızlı kapatmak isteyen ekipler.
DERİNLİK
Teknik ve uyum derinliği
Bu hizmetin sektöre özgü teknik ve uyum başlıklarındaki derinliği.
Metodoloji ve kapsam
OWASP, PTES, MITRE ATT&CK ve NIST SP 800-115 çerçevesinde dış/iç ağ, web/mobil uygulama, API ve kablosuz testlerini yürütürüz.
Red Team ve Purple Team
Red Team gerçekçi saldırı senaryolarıyla tüm savunma zincirini test eder; Purple Team egzersizleriyle savunma ekibiyle birlikte iyileştiririz.
Deneyimli uzman ekip
OSCP, OSCE ve CEH yetkinliklerine sahip uzmanlarla Burp Suite, Nmap, Metasploit ve Nuclei gibi araçları kullanırız.
Neyi Çözer
Saldırgan bakış açısıyla güvenlik açıklarını gerçek saldırı senaryolarıyla ortaya çıkarır; teorik riskleri somut kanıtlara dönüştürür. Düzenli zafiyet yönetimi ile sürekli güvenlik hijyeni sağlar.
Ağ ve uygulama sızma testleri (pentest)
Red Team operasyonları (gerçekçi saldırı simülasyonu)
Zafiyet tarama ve önceliklendirme (CVSS bazlı)
Sosyal mühendislik testleri (phishing, vishing)
Kazanımlar
Fayda
Gerçek saldırı senaryolarıyla kanıtlanmış risk görünürlüğü
Fayda
Uyum denetimlerine hazır pentest raporları
Fayda
Sürekli zafiyet yönetimi ile azalan saldırı yüzeyi
Ağ, uygulama, API, mobil, kablosuz ve sosyal mühendislik testlerini kapsar. İhtiyaca göre Red Team operasyonları ve Purple Team egzersizleri de dahil edilir.
Dış ağ sızma testi (perimeter assessment)
İç ağ sızma testi (lateral movement, privilege escalation)
Web ve mobil uygulama güvenlik testi (OWASP Top 10)
API güvenlik testi (authentication, authorization, injection)
Detaylı pentest raporu, executive summary, zafiyet listesi ve remediation yol haritası ile teslim ederiz. Re-test ile düzeltme doğrulaması yapılır.
Teknik pentest raporu (POC kanıtlı)
Yönetici özeti (executive summary)
CVSS bazlı zafiyet listesi ve önceliklendirme
Re-test ve düzeltme doğrulama raporu
Kazanımlar
Fayda
Denetim ve uyum için kullanılabilir profesyonel rapor
Fayda
Yönetim kuruluna sunulabilir executive summary
Fayda
Re-test ile düzeltmelerin doğrulanması
Kriter
Teknik rapor, executive summary, zafiyet listesi
Kriter
Düzeltme sonrası doğrulama (30 gün içinde)
Kriter
Teknik ekip ve yönetim için ayrı sunum oturumları
Sıkça Sorulan Sorular
Sızma testi sırasında sistemlerimiz zarar görür mü?
Testler kontrollü ortamda ve önceden tanımlanmış kurallar dahilinde yapılır. Kritik sistemler için test pencereleri ve geri dönüş planı hazırlanır.
Red Team ile pentest arasındaki fark nedir?
Pentest belirli sistemleri hedef alırken, Red Team gerçekçi saldırı senaryolarıyla tüm savunma zincirini (insan + teknoloji + süreç) test eder.
Ne sıklıkla sızma testi yaptırmalıyız?
Yılda en az 1 kez kapsamlı pentest, her major release öncesi uygulama testi ve sürekli zafiyet taraması önerilir. Düzenlemeye tabi sektörlerde sıklık artırılmalıdır.
Bulunan zafiyetleri siz de düzeltiyor musunuz?
Remediation danışmanlığı ve teknik rehberlik sağlarız. İsteğe bağlı olarak düzeltme implementasyonu da yapılabilir.
Rapor ne kadar sürede teslim edilir?
Test tamamlandıktan sonra tipik olarak 5-10 iş günü içinde taslak rapor paylaşılır; final rapor geri bildirim turunun ardından teslim edilir. Kesin takvim kapsamla birlikte sözleşmede netleştirilir.
Re-test ücretsiz mi?
İlk re-test (düzeltme doğrulama) proje kapsamına dahildir. Ek test turları için ayrı fiyatlandırma uygulanır.
İlgili hizmet grupları
Aynı hizmet alanındaki diğer çalışma hatlarını da karşılaştırın.