EresusSecurity

Koruduğumuz Sektörler

Regülasyon baskısı yüksek, karmaşık ve AI odaklı ortamlara uyarlanmış ofansif güvenlik kapsamı.

Finans & Bankacılık

Ödeme akışları, kimlik sınırları, hassas API'ler ve dolandırıcılık riski yüksek finans sistemleri için pentest çalışmaları.

Değerlendirme Al

Sağlık

Hasta verisi platformları, sağlık API'leri, klinik iş akışları ve bağlı uygulamalar için güvenlik testleri.

Değerlendirme Al

E-Ticaret

Checkout kötüye kullanımı, hesap ele geçirme, sadakat dolandırıcılığı ve üçüncü taraf tedarik zinciri maruziyeti için testler.

Değerlendirme Al

SaaS & Bulut

SaaS ürünlerinde çok kiracılı izolasyon, SSO, API maruziyeti ve bulut yanlış yapılandırmaları için değerlendirmeler.

Değerlendirme Al

Kamu & Savunma

Kritik servisler, hassas uygulamalar ve yüksek güven gerektiren operasyonel ortamlar için güvenlik doğrulaması.

Değerlendirme Al

Yapay Zeka Şirketleri

LLM red team, prompt enjeksiyon testi, araç kötüye kullanımı analizi, veri sızıntısı doğrulaması ve ajan güvenlik incelemesi.

Değerlendirme Al

Üç Yetkinlik. Tek Güvenlik Akışı.

Eresus Security, AI güvenlik testi, ofansif doğrulama ve iyileştirme takibini tek bir çalışma modeli altında birleştirir.

Yapay Zeka Güvenliği

LLM uygulamaları, AI ajanları, retrieval akışları ve modele bağlı iş akışları için değerlendirme.

  • Prompt enjeksiyon testi
  • Dolaylı prompt enjeksiyonu
  • Araç kötüye kullanımı analizi
  • Veri sızıntısı doğrulaması
  • Ajan akışı incelemesi

Ofansif Güvenlik

Web uygulamaları, API'ler, kimlik katmanı ve bulut altyapısında sızma testi ve kontrollü istismar.

  • Web uygulama sızma testi
  • API yetkilendirme testi
  • Red team
  • İstismar zincirleme
  • Yetki yükseltme analizi

Kurumsal Araçlar

Bulgu ile doğrulanmış düzeltme arasındaki süreci mühendislik ekipleri için netleştiren raporlama ve takip yapısı.

  • Kanıt temelli raporlama
  • Bulgu önceliklendirme
  • Yeniden test desteği
  • İyileştirme takibi
  • Güvenlik programı görünürlüğü
Hizmet merkezi

Kapsamlı Ofansif Güvenlik Hizmetleri

Eresus Security; web ve mobil uygulama sızma testi, API güvenlik testi, SaaS güvenlik değerlendirmesi, kimlik ve Active Directory incelemesi, backend geliştirme, mobil uygulama geliştirme, DevOps ve DevSecOps desteği, bulut ve Kubernetes güvenlik değerlendirmesi, red team ve AI güvenlik testi sunar. Her çalışma gerçek saldırı yollarını doğrulamak, teknik riski iş etkisine çevirmek ve mühendislik ekibinin doğru düzeltmelere odaklanmasını sağlamak için tasarlanır.

Hizmet Tanımları

Web Uygulaması Sızma Testi: Kimlik doğrulama, yetkilendirme, IDOR, SSRF, iş mantığı kusurları, dosya yükleme akışları ve oturum yönetimi zafiyetlerini doğrular.

Mobil Uygulama Güvenliği: iOS, Android ve mobil backend akışlarında istemci tarafı riskler, API kullanımı, token güvenliği, veri saklama ve cihaz güveni sınırlarını inceler.

API Güvenlik Testi: REST, GraphQL, webhook, JWT, OAuth 2.0, SAML ve çok kiracılı yetkilendirme akışlarını kötüye kullanım senaryolarıyla inceler.

Kimlik ve Active Directory Güvenliği: SSO, MFA, yetki modeli, Active Directory, ayrıcalıklı hesaplar, Kerberos, lateral movement ve kimlik temelli saldırı yollarını değerlendirir.

Backend, Microservice ve SaaS Güvenliği: Backend servisleri, queue akışları, servisler arası güven, çok kiracılı SaaS mimarileri ve hassas iş mantığı kusurlarını doğrular.

Backend Geliştirme: Node.js, Python ve Go ile servis geliştirme, API tasarımı, worker akışları, iç araçlar ve sürdürülebilir backend teslimini destekler.

Mobil Uygulama Geliştirme: iOS, Android, React Native ve Flutter tarafında ürün ekiplerine mobil teslim, entegrasyon mimarisi ve yayın hazırlığı desteği sağlar.

DevOps Mühendisliği: Docker, Kubernetes, CI/CD, IaC, gözlemlenebilirlik ve yayın otomasyonu katmanlarında teslim odaklı DevOps desteği sağlar.

Bulut Güvenlik İncelemesi: AWS, Azure, GCP, IAM rolleri, gizli bilgi yönetimi, Kubernetes, CI/CD ve konteyner maruziyetlerini birlikte değerlendirir.

DevSecOps ve SDLC İncelemesi: CI/CD hatları, derleme ajanları, gizli bilgi yönetimi, bağımlılık riski, dosya güveni, branch korumaları ve yayın süreçlerini güvenlik açısından inceler.

Red Team: İnsan, süreç ve teknoloji katmanlarını hedef odaklı senaryolarla test ederek algılama ve müdahale kapasitesini ölçer.

AI Güvenlik Değerlendirmesi: Prompt injection, dolaylı prompt injection, araç kötüye kullanımı, RAG veri sızıntısı ve ajan orkestrasyon risklerini ele alır.

MCP ve AI Ajan Güvenliği: MCP sunucuları, agent runtime, tool call izinleri, memory, retrieval ve production action sınırlarını gerçek suistimal senaryolarıyla test eder.

Kubernetes ve Container Güvenliği: RBAC, service account, secret, ingress, workload isolation, registry ve GitOps bağlantılarından doğan cluster saldırı yollarını doğrular.

Olay Müdahale ve Güvenli Yazılım: Güvenlik olaylarında triage ve saldırı yolu kapatma desteği verir; ürün tesliminde secure SDLC, code review ve DevSecOps kontrollerini uygular.

Nasıl Çalışır?

  1. Kapsam belirleme: İncelenecek uygulamalar, API'ler, bulut hesapları, kimlik katmanları ve AI özellikleri netleştirilir.
  2. Kritik saldırı yollarını seçme: Hesap ele geçirme, veri sızdırma, tenant kırılması, yetki yükseltme ve AI kötüye kullanım senaryoları önceliklendirilir.
  3. Doğrulama odaklı test: Otomatik tarama sinyalleri uzman doğrulamasıyla birleştirilir ve gerçekten istismar edilebilir bulgular ayrıştırılır.
  4. Kanıtlı raporlama: Her bulgu için yeniden üretim adımı, etki özeti, teknik bağlam ve çözüm yönü sunulur.

Öne Çıkan İçgörüler

  • İyi bir ofansif güvenlik çalışması sadece ticket üretmez, belirsizliği azaltır.
  • API ve kimlik mantığı hataları çoğu zaman otomatik tarayıcıların ötesinde derin sızma testi gerektirir.
  • Bulut ve AI özellikleri, uygulama ile altyapı arasında zincirlenen saldırı yolları üretir.
  • Yeniden test ve düzeltme desteği, ilk bulgu sayısı kadar önemlidir.

Gerçek Dünya Örnekleri

B2B SaaS platformu: SSO, SCIM, admin panelleri ve çok kiracılı veri sınırları birlikte test edilerek tenant kırılması ve yetki hataları aranır.

Fintech ve ödeme sistemleri: Ödeme akışları, işlem bütünlüğü, API yetkilendirmesi ve sahtecilik yüzeyleri zincirleme saldırı mantığıyla değerlendirilir.

AI asistanı veya RAG tabanlı ürün: Prompt enjeksiyonu, araç çağrıları, eklenti erişimi ve hassas veri maruziyeti gerçek kullanıcı senaryoları üzerinden doğrulanır.

Adım Adım Eylem Rehberi

  1. Önce en kritik varlıklarınızı seçin: web uygulaması, API, kimlik sistemi, bulut hesabı veya AI özelliği.
  2. Sizin için en önemli riski tanımlayın: hesap ele geçirme, veri sızdırma, tenant kırılması, yetki yükseltme veya model kötüye kullanımı.
  3. Kapsama üçüncü taraf entegrasyonlarını, staging veya prod benzeri ortamları dahil edip etmeyeceğinize karar verin.
  4. Teslimat beklentinizi netleştirin: teknik rapor, yönetici özeti, düzeltme çalıştayı ve yeniden test.
  5. Çalışma bittikten sonra yüksek riskli bulgular için tekrar doğrulama planlayın.

Sık Sorulan Sorular

Sızma testi ile zafiyet taraması arasındaki fark nedir?

Zafiyet taraması otomatik bir ilk sinyal üretir. Sızma testi ise bu sinyalleri doğrular, zincirler ve gerçek iş etkisine çevirir.

Ne sıklıkla test yaptırmalıyım?

Yıllık test minimum kabul edilebilir seviyedir. Büyük sürüm, mimari değişiklik, yeni API veya AI özelliği sonrası ek test önerilir.

AI veya LLM özelliklerini de test ediyor musunuz?

Evet. Prompt injection, tool abuse, veri sızıntısı, RAG güvenliği ve ajan akışları dahil AI özellikleri kapsamımıza girer.

Teslimatta neler olur?

Kanıtlı teknik bulgular, önceliklendirilmiş risk özeti, düzeltme önerileri ve gerekiyorsa yeniden test desteği sunulur.

Başlamadan önce ne hazırlamalıyım?

Kapsam listesi, yetkili iletişim kişisi, test penceresi, gerekiyorsa test hesapları ve kritik iş akışlarının kısa özeti yeterlidir.

Nasıl Çalışır?

Saldırı yüzeyi verisini doğrulanmış bulgulara ve düzeltme önceliklerine çeviren yapılandırılmış bir süreç.

01

Kapsam ve Varlık Keşfi

İnternet yüzü olan varlıklar, kritik iş akışları, kimlik katmanı, API'ler ve AI yüzeyleri belirlenir.

02

Tehdit Modelleme

Ortamınız için en önemli iş etkili saldırı yolları çıkarılır.

03

Doğrulama Testi

Web, API, bulut ve AI sistemlerinde istismar edilebilir zayıflıklar test edilir.

04

Saldırı Zincirleme

İlişkili bulgular birleştirilerek iş etkisi, yetki yükseltme ve gerçekçi saldırı yolları doğrulanır.

05

Raporlama ve Önceliklendirme

Kanıt, önem derecesi, etkilenen varlıklar ve önce düzeltilmesi gereken noktalar belgelenir.

06

İyileştirme Desteği

Ekibinizle birlikte düzeltme yaklaşımı, telafi edici kontroller ve uygulama dengeleri netleştirilir.

07

Yeniden Test

Yüksek riskli bulguların gerçekten kapatıldığı doğrulanır.

Gerçek saldırı yollarınızı daha net görmek ister misiniz?

Eresus Security'nin web uygulamaları, API'ler, bulut ortamları ve AI sistemlerini nasıl test ettiğini görmek için kapsam görüşmesi planlayın. Odağımız kanıt, etki ve düzeltme önceliğidir.

İnceleme PlanlaGörüşme Ayarla