Zaafiyet taraması, sistemlerdeki zafiyetlerin çeşitli yazılımlar kullanılarak bulunması, analiz çalışması yapılarak tanımlanması,  ölçülmesi ve önem sırasına göre düzenlenmesi, sisteme gelebilecek saldırılardan önce fark edilerek kabul edilebilir seviyeye indirgenebilmesidir.

Sızma testi, sistemlerin güvenliğini değerlendirmek, içeriden ve/veya dışarıdan gelebilecek tehditlere karşı ne kadar hazır olduğunu belirlemek için mümkün olan yolların denenerek sisteme saldırı düzenlenmesidir. CERTBY olarak, sistemlerinizin güvenliğinin test edilmesi için sizlere aşağıdaki hizmetleri sunmaktayız:

Software_Security

İç Ağ Taraması

Saldırganların iç ağa erişmeleri ve gerçekleştirebilecekleri olası siber saldırıları önleme amacıyla kurumun iç ağ yapısında bulunan cihazlarda uygulanan tarama çeşididir. Ağda bulunan bu cihazların başlıcaları sunucu, istemciler ve diğer ağ elemanlarıdır. Tarama yapılacak olan kuruma yerinde hizmet verilerek ya da VPN ile uzaktan erişim bağlantıları ile gerçekleştirilebilir.

Password

Dış Ağ Taraması

Kurumun ağı içinde yer alan sunucularda ve istemcilerde çalıştırılan işletim sistemleri, yazılımlar, sürücüler ve cihaz konfigürasyonları gibi sistemlerden kaynaklanan açıklıkların taraması işlemidir. Ağa yetkisiz girişimlerin var olup olamayacağı kontrolü sağlanır, bu durumlar raporlanır. Burada uygulanan testler internet üzerinden gerçekleştirilir ve sistemi durdurmaya sebebiyet verilmez.

DDos

DDos Testleri

Kurumunuza internet üzerinden gelebilecek tüm DDoS atak tiplerine karşı testler gerçekleştirilmekte ve sistemlerinizi gelebilecek DDoS saldırılarına karşı izlenmekte, durumunun raporlaması yapılmaktadır. DDoS saldırılarını engellemek için açık kaynak kodlu ve ticari ürünler kullanılmalı, gerekli altyapı kurulmalıdır.
Açıklığın analiz edilmesi durumunda tarafımızca test edilen uygun ürünler tavsiye edilir ve açıklığı ortadan kaldırmak üzerine çalışma başlatılır.

Social Engineering
Sosyal Mühendislik Testleri

Saldırganların insan zafiyetlerinden faydalanarak çeşitli ikna ve aldatmaca yöntemleriyle istedikleri bilgileri elde etme üzerine düzenledikleri saldırılardır. Kurum içindeki personellerin bilgi güvenliği farkındalığı eksikliği bu saldırılara zemin hazırlamaktadır. Saldırganlar bu yöntemleri genellikle telefon, e-posta vb. gibi yüz yüze olmayan iletişim kanalları ile uygularlar. Bu tarz açıklıkları tespit için kurumda bir saldırı senaryosu simülasyonu gerçekleştirilir ve durumlar raporlanır.

firewall
Güvenlik Duvarı Testleri

Kurumda bulunan Firewall tarzı ürünler Güvenlik Duvarı Testleri kapsamında test edilirler ve konfigürasyonları incelenir. Olası saldırılara ve zararlı yazılımlara karşı en büyük engelleme güvenlik duvarlarından beklenmektedir. Test edilen donanım ve yazılımlar üzerindeki analizler sonrası güvenlik duvarında kritik açıklıklar ve yanlış konfigürasyon adımları var ise tespit edilir. Tespit edilen sonuçlar raporlanır.

URL
URL ve İçerik Filtreleme Testleri

İçerik filtreleme kullanılarak internet ağınızda bulunan zararlı içeriklerden korunabilirsiniz. Taranan web siteleri için girdi kuralları kontrol edilir, belirlenen kuralların zararlı içerikleri ne derecede engellendiği test edilir. Elde edilen sonuçlar raporlanır.

dns
DNS Servis Testi

DNS Servis Testleri kapsamında host üzerinde name serverların tanımlı olduğu alanda değişiklik yapılmasını sağlayan DNS Hijacking veya yanlış IP adreslerinin yanlış yönlendirilmesine yol açacak DNS Spoofing  gibi DNS üzerinden gerçekleşebilecek olası saldırıların tespiti yapılır. Ortaya çıkan sonuçlar raporlanır.

secure_mails
E-posta Servis Testi

E-posta istemcilerinde ve web e-posta sistemlerinde zafiyet taramasını kapsayan test türüdür. E-posta protokol servisleri her zaman Spam ya da Spoofing (kimlik taklitçiliği) için kontrol ve koruma sağlamayabilir. Kurum içine, kurum içinden ve dışından gelen e-postalar, kurum dışına kurum içinden giden e-postalar kontrol edilir.

Network
Kablosuz Ağ Testleri

Kablosuz ağlar; protokollerden, özelliklerinden ve kullanıcı bilinçsizliklerinden kaynaklı riskleri barındırabilirler. Saldırganlar ağ üzerindeki açıklıklar sebebiyle trafiği dinleyebilir ve hatta WEP/WPA/WPA2 türlerindeki şifreleme protokolleri için şifre kırma yöntemleri kullanabilirler. Bu tarz saldırılara yönelik kurumun kablosuz ağları üzerinde keşif ve analiz yapılır. Bu keşifler kullandığımız tarama araçları ile gerçekleştirilir ve durumlar raporlanır.

Database
Veri Tabanı Yapılandırma Testi

Yapılandırma öğelerinin özellikleri ile yapılandırma öğelerinin ilişkilerini kayıt altına almada kullanılan veri tabanı üzerinde tarama yapılır. Veri tabanına yapılacak olası saldırılara karşı veri tabanı yapılandırmasında bir hata olup olmadığı tespit edilir. Sonuçlar tavsiyelerle birlikte raporlanır.

yazılım_güvenlik
Kaynak Kod Analizi

Kaynak kodlarının otomatik bir araçla ve manuel gözlem ile incelenerek zafiyet oluşturabilecek yapısal ve mantıksal hataların belirlenmesi ve raporlanması işidir.