Sızma testi (pentest)
Web, mobil, API ve altyapı için OWASP + PTES metodolojisinde sızma testi. Detaylı rapor + remediation planı + retest dahil.
Yetkinlik · Siber Güvenlik & Danışmanlık
Saldırgandan önce zafiyetleri biz buluyoruz.
Sızma testinden ISO 27001 sertifikasyona, KVKK uyumluluktan olay müdahaleye — kurumsal güvenlik ihtiyaçlarının tamamı için danışmanlık ve uygulama hizmeti.
Yetkinlik alanları
Pentest'ten compliance'a — tam spektrum güvenlik.
Güvenlik denetimi
Kod denetimi (SAST), bağımlılık taraması (SCA), konfigürasyon denetimi. CI/CD pipeline'a gömülü sürekli güvenlik.
ISO 27001 hazırlık
Bilgi güvenliği yönetim sistemi (BGYS) kurulumu, risk değerlendirme, kontrol listeleri, denetim öncesi gap analizi.
Olay müdahale (IR)
Saldırı sonrası adli analiz, log toplama, kanıt zinciri, kök neden analizi ve toparlama planı. 24 saat içinde devreye gireriz.
Kimlik & erişim yönetimi (IAM)
SSO, MFA, RBAC, SCIM, ZTNA implementasyonu. Microsoft Entra ID, Okta, Auth0, Keycloak deneyimi.
KVKK & veri koruma
VERBİS kayıt, veri envanteri, aydınlatma metni, açık rıza, KVKK uyum analizi. Veri sorumlusu ve veri işleyen perspektifinde.
Müşteri kullanım senaryoları
Gerçek dünyada test edilmiş güvenlik pratikleri.
Bilgisayar başında güvenlik raporu yazmıyoruz; üretim sistemlerinde gerçek saldırgan zihniyetiyle çalışıp somut zafiyetleri bulup düzeltiyoruz.
Web app pen-test
Müşteri SaaS ürününün üretim ortamı + staging için periyodik sızma testi; kullanıcı yetkilendirme zafiyetleri, IDOR, XSS, SQL injection taraması.
Sonuç: Kritik bulgular yayın öncesi tespit, sızma riski azalır.
Mobil uygulama güvenlik denetimi
iOS + Android uygulamada API güvenliği, sertifika pinning, anti-tamper, jailbreak/root tespiti, key storage analizi.
Sonuç: Reverse engineering ve API kötüye kullanım sınırlanır.
ISO 27001 sertifikasyon süreci
Tedarik şirketinin BGYS kurulumu; politikalar, prosedürler, risk değerlendirme matrisi, iç denetim raporları, sertifikasyon hazırlık.
Sonuç: Kurumsal müşteri ihalelerinde rekabet avantajı.
Ransomware sonrası IR
Şirketin ağ saldırısı sonrası 48 saat içinde devreye girip log analizi, sistem temizliği, KOBİ-ölçekli toparlama planı.
Sonuç: Veri kaybı sınırlanır, operasyon hızla normale döner.
Teknoloji yığını
Endüstri standardı güvenlik araç seti.
Sızma testi & araç
- Burp Suite Pro + ZAP
- Metasploit + Cobalt Strike
- Nuclei + Nessus
- Wireshark + tcpdump
- Frida + MobSF (mobil)
Sürekli güvenlik
- SonarQube + Semgrep (SAST)
- Snyk + Dependabot (SCA)
- Trivy + Anchore (container)
- GitGuardian (secret tarama)
- Falco (runtime threat)
Yönetim & izleme
- Wazuh / ELK (SIEM)
- CrowdStrike / SentinelOne (EDR)
- Microsoft Entra ID + Conditional Access
- Cloudflare WAF + DDoS
- HashiCorp Vault (secret yönetimi)
Yaklaşımımız
Saldırgan zihniyeti, mühendis disiplini.
Sürekli güvenlik kültürü
Tek seferlik sızma testi yetmez — geliştirici eğitimi, code review pratikleri, CI/CD pipeline'a güvenlik testleri gömülü olmalı. Güvenlik kültür meselesi.
Kırmızı takım yaklaşımı
Kurumsal müşteriler için saldırgan zihniyetiyle çalışırız: gerçekçi senaryolar, sosyal mühendislik, fiziksel sızma simülasyonları.
Compliance + iş hızı dengesi
ISO 27001, KVKK, PCI DSS uyumluluk müşterinin iş hızını yavaşlatmamalı. Pragmatik uygulama planı çıkarırız.
Mevcut ekiple çalışma
Müşterinin geliştirici ve sistem yöneticisi ekibiyle birlikte çalışırız — bilgi transferi, eğitim, dokümantasyon önceliklidir.
Proje örnekleri
Çeşitli sektörlerde güvenlik projeleri.
Müşteri gizliliği gereği proje detayları anonim — sektörel çeşitlilik ve kapsam derinliği konusunda fikir vermesi için.
SaaS
Üretim öncesi pentest + IR plan
B2B SaaS ürününün ilk müşterilerine açılmadan önce kapsamlı sızma testi; OWASP Top 10 tarama + IR runbook hazırlığı.
- Burp Suite Pro
- OWASP ASVS
- Tabletop exercise
Finansal hizmetler
ISO 27001 sertifikasyon
Finansal teknoloji şirketinin BGYS kurulumu ve ISO 27001 sertifikasyon hazırlığı; gap analizinden sertifika alımına kadar.
- BGYS dokümantasyon
- Risk değerlendirme
- İç denetim
Sağlık
KVKK uyum + veri envanter
Klinik zincirinin KVKK uyum süreci; veri envanter, hasta açık rızası, VERBİS kayıt, çalışan eğitim programı.
- VERBİS bildirim
- Veri akış haritası
- Çalışan eğitim modülü
Üretim & lojistik
Endüstriyel ağ güvenliği denetimi
Üretici şirketin OT/IT ağ ayrımı, SCADA güvenliği, USB tabanlı saldırı önleme; segmentasyon ve hardening önerileri.
- Nessus tarama
- OT-specific kontroller
- Network segmentation
Güvenlik durumunuzu birlikte değerlendirelim.
İlk görüşmede mevcut güvenlik açıklarınız, compliance hedefleriniz ve risk profilinize göre uygun adımları planlarız.
Diğer yetkinliklerimiz
Mühendislik kapasitemizin diğer alanları.
Savunma Sanayi
Selçuk Teknokent merkezli mühendis ekibimizle gizlilik, kalite ve süreç disiplinine sadık savunma sanayi yazılım projeleri.
Yapay Zeka & Veri Bilimi
NLP, görüntü işleme, tahmin modelleri ve generatif AI tabanlı üretime alınmış kurumsal çözümler. Demo değil, sahada çalışan.
Blockchain & Dağıtık Sistemler
Ödeme sistemleri ile entegre kurumsal blockchain altyapıları ve akıllı kontrat geliştirme. Pilot değil, üretim ortamı.
Oyun Geliştirme
Mobil oyun ve interaktif teknoloji projeleri — mağazada yayında olan başlıklar, sürdürülen oyun motorları.
Mobil Uygulama Geliştirme
iOS, Android ve cross-platform mobil uygulamalar — mağaza yayında, kullanıcı tabanı sahada büyüyen ürünler.