Bize Ulaşın: +90 212 371 8668 info@sibertis.com.tr

This post is also available in: English

BİLGİ GÜVENLİĞİ DANIŞMANLIK HİZMETLERİ

Hizmetlerimiz > Danışmanlık Hizmetleri > Bilgi Güvenliği Danışmanlık Hizmetleri

BİLGİ GÜVENLİĞİ DANIŞMANLIK HİZMETLERİ

    Gelişen teknolojiye daha da önemlisi her geçen gün daha da karmaşık saldırıları düzenleyebilen ve neredeyse hiç açığın olmadığı emin olunan yere bile sızmayı başarabilen saldırganlara ayak uydurmak her zaman mümkün olamayabiliyor.  İyi bir güvenlik altyapısı için uygun ürünlerin bütçenize göre seçimi, devreye alınması konularında sizlere yardımcı olabiliriz. Çoğu zaman ürün seçiminden önce ağ genelinde yapılacak risk analizi ve yönetimi, sızma testlerinin uygulanması yapılması daha doğrudur.

     

    Sibertis olarak aşağıdaki konularda uzman ekiplerimizce bilgi güvenliği danışmanlık hizmetleri sağlayabiliriz:

    GÜVENLİK TESTLERİ ve ZAFİYET DEĞERLENDİRMESİ

    Sibertis olarak hem otomatik tarama işlemleri hem de uzaktan ya da yerinizde uluslararası standartlara uygun manuel sızma testleri gerçekleştirebiliriz. Otomatik tarama testi sisteminize kurulacak uygun bir çözümün ağ genelinde periyodik olarak tarama yapmasıdır. Tarama IP tabanlı yapılır ve tarama esnasından nerelere bakılması gerektiği önceden belirlenebilir. Tarama sıklığı ne kadar çok olursa konumlanması gereken sunucular da o kadar artar. Bu çözümün sahibi kuruluştur. Dolayısı ile de tarama sonunda ortaya çıkan açıkların şirket içerisinde kalması açısından daha güvenlidir. Sibertis olarak bu konuda Ortadoğu ve Türkiye Bölgesi Katma Değerli Distribütörü olduğumuz Positive Technologies firması ile çalışıyoruz. Daha detaylı bilgi için bizimle iletişime geçebilirsiniz.

    Manuel yapılan güvenlik testlerinde ise kullandığımız standartlar aşağıdaki gibidir;

    • PTES Technical Guidelines
    • NIST (The National Institute of Standards and Technology )
    • New PCI DSS guidance
    • OWASP Testing Guide

    Testleri uzman ekiplerimizde gerçekleştiriyoruz ve yaptığımız testlerde KVKK, GDPR, HIPAA, PCI-DSS gibi zorunlu ve ISO/IEC 27001:2013, NIST SP 800-53, HITRUST gibi zorunlu olmayan ulusal ve uluslararası standartlara uyuyoruz.

    Yaptığımız testlerde genel olarak 4 farklı katmanda çalışıyoruz. Bu 4 katmanın dışında ise sektörel olarak ATM şebekesi, SS7 sinyalizasyon altyapısı güvenlik testlerini de iş ortağımız olan ‘Positive Technologies’ ile gerçekleştiriyoruz.

     

    Genel olarak test ettiğimiz dört katmanı aşağıda inceleyebilirsiniz:

    Dışarıdan Sızma (Blackbox)

    Bu tip testlerde pentest işlemini yapan kişinin kuruluşa ait hiç bir bilgisi yoktur. Dışarıdan ilgili işletme hakkında bilgi toplanır, açık kapılar belirlenir ve sızma gerçekleşir. Hata payı yüksektir ve uzun bir zaman gerektirir.

    Dışarıdan Sızma (Whitebox/Graybox)

    Bu tip testlerde pentest işlemini yapan kişi işletme hakkında sınırlı bilgiye sahip müşteri ya da iş ortağı gibi davranır. Pentest yapılacak hedefler çoğunlukla önceden belirlenir. Doğruluk payı daha yüksektir ve göreceli olarak daha kısa zamanda sonuç raporu hazırlanır.

    İçeriden Sızma

    Bu modelde ise pentest uzmanı işletmenin kendi elemanı gibi davranır. Yetkisiz kullanımları, sistemlerin eksikliklerini tespit etmede çok etkilidir. Şifre kırma, ağa giriş işlemleri bu katmanda yapılır. Güvenlik açıklarının tespitinde ve onarılmasında genellikle içeriden sızma testi yapılır.

    Güvenlik Duvarları, Güvenlik Sistemleri testi

    Güvenlik politikaları, güvenlik duvarı cihazlarının performansları, işletim sistemlerinin değerlendirilmesi, iş süreçlerinin analizi ile her türlü güvenlik sisteminin yeterliliği ve analizi bu katmanda yapılır.

    Sibertis olarak gerçekleştirdiğimiz güvenlik testlerinin tiplerini aşağıda görebilirsiniz:

    Ağa Sızma Testleri

    • Dışarıdan veya içeriden
    • Black Box, White Box veya Gray Box
    • Çevresel Altyapı
    • Kablosuz ağlar, WEP/WPA/WPA2 kırma
    • Buluta sızma testleri
    • Telefon sistemler, VOIP

    Uygulamalara Sızma Testleri

    • Web uygulamaları – asp.NET, PHP, Java, XML, APIs, web
    • Şirketin kendi uygulamaları
    • Mobil Uygulamalar – Android, IOS
    • Endüstriyel Kontrol Sistemleri – SCADA
    • Veritabanları – SQL, MySQL, Oracle

    WEB Uygulaması Güvenlik Testleri

    • SQL enjeksiyon ve çapraz-site zafiyetleri
    • Sunucu yapılandırma problemleri
    • Kredi kartı bilgilerinin alınabilmesi için WEB-Sitesine sızma
    • Önceden saldırıya uğramış WEB Sunucusunu dağıtım ve ağa sızma için kullanma

    Fiziksel Sızma Testleri

    • İşletme içerisine güvenliğin aşılarak girilmesi
    • Sahte kimlik, başkasının yerine girişler
    • İşletme içerisine bilgi alma amaçlı çıkarılabilir belleklerin bırakılması 

    Sosyal Mühendislik Testleri

    • Çalışanlarla iletişim kurma
    • Oltalama atakları
    • Şifreleri ele geçirme
    • Sosyal medyada yapılan gönderiler üzerinden şirket bilgisi elde etme
    • İş ortakları, müşteriler
    • Facebook, Linkedin hesaplarının ele geçirilmesi

    Güvenlik Testlerinin Planlanması

    Güvenlik testleri kapsamında değerlendirilen sızma testlerinin planlandırılması sonuçları açısından son derece önemlidir. Zafiyetlerin belirlenmesinden sonra ortaya çıkan raporun dikkatli bir şekilde değerlendirilmesi ve ilgili aksiyonların alınması gerekmektedir.

    Planlama kapsamında aşağıdaki konular üzerinde anlaşma sağlanmalıdır:

    • Sızma testlerinin kapsamı (Blackbox/Whitebox/Graybox)
    • Dışarıdan veya içeriden sızma testi
    • Testlerin ne kadar sıklıkta yapılacağı
    • Test sonucunda ortaya çıkabilecek açıkların nasıl kapatılacağı
    • Test kapsamında DDoS testlerinin de yapılıp yapılmayacağı
    • Kaç çeşit sonuç raporunun hazırlanacağı  (BT ekibine özel, şirket yöneticilerine özel, tüm çalışanlar için)

    RİSK YÖNETİMİ

    Risk Yönetimi en yalın haliyle tehditlerin, güvenlik açıklarının varlıklarınızı ne derecede etkileyeceğinin ölçülmesi işlemidir. Sibertis olarak risklerinizi ortaya çıkartıp ayrıntılı rapor halinde sunduktan sonra giderilmeleri için gereken yolları belirleyebiliriz.

    Analizlerimiz sonucunda ortaya çıkan raporlar aşağıdaki hususları içerir:

    • Genel Özet
      • Şirket genelindeki güvenlik gözlemi
      • Belirlenen zafiyetler ve riskler
      • Zafiyetlerin saldırıya uğrama olasılıkları
    • Çıkan Sonuçların Grafiksel Gösterimi
      • Detaylı yol haritası
      • Riskler ile ilgili infografikler
      • Diyagramlar ve puanlamalar
    • Kapsamlı Öneriler
      • Her bir zafiyetin giderilmesi için tavsiyeler
      • Şirketin genel güvenlik duruşunun düzeltilmesi için öneriler
    • Önemli zafiyetlerin neden olabileceği sorunlar ilgili gösterimlerin yapılması

     

    Genel olarak Kurumsal Risk Yönetimi İzlediğimiz Yol Aşağıdaki Gibidir   

    Risk Değerlendirme ve İhtiyaçların belirlenmesi

    • Önemli bilgi içeren varlıkların tespit edilmesi
    • İlgili departman sorumluları ile değerlendirme
    • Risk Yönetiminin sürekliliği

    Yönetim Toplantılarının Gerçekleştirilmesi

    • Önemli etkinlikler için sorumluların atanması
    • Üst-düzey yöneticilere bağımsız olarak erişimin sağlanması
    • Bütçe ve kaynakların belirlenmesi
    • Ekiplerin teknik düzeylerinin düzenli bir ölçülmesi ve artırılması

    Şirket Politikalarının Belirlenmesi

    • Politikaları risklerle bağdaşlaştırma
    • Politikaları ve kılavuzları hazırlama
    • Politikaların merkezi grup tarafından desteklenmesi

    Siber Farkındalığın Artırılması ve Eğitimler

    • Kullanıcıların potansiyel riskler konusunda bilgilendirilmesi
    • Kullanıcı dostu bir şekilde ilginin artırılması

    Politikaların Gözden Geçirilmesi ve İyileştirmeler

    • Riskleri ve verimliliği etkileyen faktörlerin görüntülenmesi
    • Gelecekte problemlerin yaşanmaması için alınması gereken tedbirler
    • Yeni teknolojilerin incelenmesi ve uygulanması

    SEKTÖRE ÖZEL GÜVENLİK DEĞERLENDİRMELERİ

    Telekom Altyapısı Güvenlik Değerlendirmesi

    Telekom altyapıları karmaşık ve doğrudan kullanıcıları ilgilendirdiğinden güvenlik testleri de konusunda uzmanlarca yapılmalıdır. Sibertis olarak Telekom Altyapı Güvenlik testleri kapsamında distribütörü olduğumuz Positive Technologies ile birlikte aşağıdaki servisleri sunuyoruz;

    • SS7 Sinyalleşme Katmanı Güvenlik Değerlendirmesi
    • Radyo Erişim Ağlarının Güvenlik Değerlendirmesi
    • Diameter Şebekesi Güvenlik Değerlendirmesi

    Telekom Altyapılarında olabilecek önemli tehditlerin bazıları aşağıdaki gibidir:

    • Faturalandırma sisteminin ele geçirilmesi/atlatılması
    • Abone bilgilerinin ele geçirilmesi
    • Abonelere ve ekipmanlara olası DDoS saldırıları
    • Kullanıcı konuşmalarına, mesajlaşmalarına nüfuz edilmesi

    Testler sırasında odaklandığımız konular aşağıdaki gibidir:

    • Dolandırıcılık (fraud) işlemlerinin ve gelir kaybının azaltılması
    • Müşteriler ve iş ortakları ile güvenin kazanılması, abone geçişlerinin önlenmesi
    • Ana şebekenin ve abonelerinin gizliliğini koruma
    • Kanun ve regülasyonlara uyumluluğunun sağlanması
    • Olası DDoS ataklarının önlenmesi ve müşteri deneyiminin iyileştirilmesi

     

    Kritik Altyapı Güvenlik Değerlendirmesi

    Telekom altyapıları gibi Endüstriyel Kontrol Sistemlerinin Güvenlik Değerlendirmeleri de üretimi doğrudan etkilediği için uzmanlarca ele alınmalıdır. Bu konuda iş ortağımız olan Positive Technologies aşağıdaki hizmetleri sunmaktayız;

    • Endüstriyel Kontrol Sistemleri (ICS) denetimi
    • BT işbirimlerine dışarıdan ve içeriden sızma testlerinin yapılması

    Endüstriyel Kontrol Sistemleri (ICS) Altyapılarında olabilecek önemli tehditlerin bazıları aşağıdaki gibidir:

    • Saldırganların yol açabileceği olası kazalar ve yaşam kayıpları
    • ICS altyapısını ele geçirme
    • ICS altyapısına içeriden izinsiz ve yetkisiz girişler
    • Sistem arızaları

    Testler sırasında odaklandığımız konular aşağıdaki gibidir:

    • Uygulama kaynak kodlarının statik, dinamik ve interaktif güvenlik testleri ile analiz edilmesi
    • Yazılım, gömülü yazılım ve birleşik protokollerin detaylı analizi
    • Gömülü servislerin mimarilerinin detaylı incelenmesi
    • ICS altyapısına erişimlerin test edilmesi ve dışarıya olan bağlantılarının test edilmesi
    • ICS uyumluluk incelemesi
    • Ağ mimarisinin, ağ servislerinin ve erişimleri analizi

     

    Çevrimiçi Bankacılık Sistemi ve ATM Şebekesi Güvenlik Değerlendirmesi

    Günümüzde en çok atak alan sektörlerden birisi finans sektörüdür ve saldırıların başını çevrimiçi bankacılık sistemi ile ATM şebekesine verilen zararlar oluşturmakatdır. Bu konuda iş ortağımız olan Positive Technologies aşağıdaki hizmetleri sunmaktayız;

    • Çevrimiçi Bankacılık Sistemine (Online Banking System – OLS) içeriden ve dışarıdan sızma testlerinin gerçekleştirilmesi
    • Otomatik denetim ve sunucu tarafındaki yapılandırmanın analizi
    • İyileştirme doğrulaması (Remediation Verification)
    • ATM şebekelerine Blackbox ve Whitebox sızma metotlarının uygulanması

    Çevrimiçi Bankacılık Sistemlerinde olabilecek önemli tehditlerin ve zayıflıkların bazıları aşağıdaki gibidir:

    • Koruma mekanizmalarındaki zayıflıklar
      • Tanımlama
      • Yetkilendirme
      • izin verme
      • İşlem güvenliği
    • İşleyişteki mantıksal hatalar
    • Uygulama kodundaki zafiyetler
    • Kullanıcı tarafındaki yetersiz koruma
    • Sunuculardaki zafiyetler

    ATM Şebekelerinde olabilecek önemli tehditlerin ve zayıflıkların bazıları aşağıdaki gibidir:

    • Zayıf kullanıcı yetkilendirmesi ve erişim kontrolü
    • Ağ iletişimindeki zafiyetler
    • Yazılımlardaki ve ATM’lere özel ağ servislerindeki zafiyetler
    • Güvenlik yazılımındaki zayıflıklar
    • BIOS güvenliği zafiyetleri
    • ATM bileşenlerindeki yetersiz güvenlik (PIN girişi, para verme ünitesi, kart okuyucu gibi

    Testler sırasında odaklandığımız konular aşağıdaki gibidir:

    • Sıfırıncı gün ve zafiyetlerin tespit edilmesi
    • Uygulama kaynak kodlarının statik, dinamik ve interaktif güvenlik testleri ile analiz edilmesi
    • Yazılım, gömülü yazılım ve birleşik protokollerin detaylı analizi
    • Gömülü servislerin mimarilerinin detaylı incelenmesi
    • ATM bileşenlerinin detaylı analizi

    WEB & MOBİL UYGULAMA GÜVENLİK DEĞERLENDİRMELERİ

    WEB Uygulama Güvenlik Değerlendirmesi

    Günümüzde iş süreçlerinin yönetilmesinde modern yaklaşım WEB teknolojileri sıklıkla kullanılıyor. Kurumsal WEB Siteleri, kurumsal portaller, çevrimiçi mağazalar, servis portalleri, elektronik ticaret platformları, sosyal medya platformları her gün milyonlarca kişinin kullandığı web servislerinin sadece bir kaçı. Halka açık web siteleri işletmelerin sadece imajı değil ürünlerinin satışı için oldukça kolaylık sağlayan hizmetlerdir. Web sitelerindeki olası açıklar, zafiyetler, ataklar işletmeler için önemli derecede finansal kayıp ve imaj zedelenmesi sonuçlarını doğurabilir.

    Positive Technologies Şirketinin 2016 yılında yaptırdığı bir araştırmaya göre WEB uygulamaların %58’i kritik seviyede zafiyet içermektedir. Bu rakam 2017 yılında %52’e düşmüşse de sadece tek bir zafiyetin bile ilgili sunucunun tamamıyla çökmesine sebep olabilir. Raporları incelemek için bizimle iletişime geçebilirsiniz.

    WEB Uygulamalarında yapılacak güvenlik değerlendirmesinin amacı bu tip zafiyetlerin ortaya çıkarmak ve bağımsız gözle güvenlik kalitesini artırmaktır. Güvenlik değerlendirmesinin sıklıkla yapılması uygulamaların güvenlik kalitesi artırmak için çok önemlidir. Böylelikle operasyonel, finansal ve imaj zedelenmesi riski düşer.

    Sibertis olarak WEB Uygulamalarınızı uzman kadromuzla ve iş ortağımız olan Positive Technologies ile detaylı olarak değerlendiriyor, analizini yapıyor, olası açıklarını raporluyor ve çözüm önerileri sunuyoruz.

     

    WEB Uygulamalarında Genel Olarak Gözlemlenen Zafiyetleri Aşağıda İnceleyebilirsiniz:

    Kullanıcılar

    • Şifre Yönetimi
    • Sosyal Mühendislik
    • Oltalama Atakları
    • Güncelleme Yönetimi
    • Kullanıcıların sıklıkla girdikleri WEB Sitelerin çökeltirmesi
    • Veri Yönetimi
    • Yetkili Girişleri

    Uygulama

    • Çapraz Kod Çalıştırma (Cross-site Scripting XSS)
    • Zayıf Giriş Doğrulaması
    • Parola Ele geçirme (Brute Force Attacks)
    • Oltalama Atakları
    • Güncelleme Yönetimi
    • Kullanıcıların sıklıkla girdikleri WEB Sitelerin çökeltirmesi
    • Veri Yönetimi
    • Yetkili Girişleri

    Tarayıcı

    • Oltalama Atakları
    • Çapraz Çerçeve Çalıştırma
    • Tuzak linkler (Clickjacking)
    • Tarayıcı içerisindeki Kullanıcı Bilgilerinin Çalınması (Man in the Browser)
    • Arabellek Aşım (Buffer Overflow) Atakları
    • Veri Önbellekleme

    Arka Yüz (Back-End)

    WEB Sunucusu

    • Platform Zafiyetleri
    • Hatalı Sunucu Yapılandırması
    • Çapraz Kod Çalıştırma
    • Zayıf Giriş Doğrulaması
    • Parola Ele Geçirme

    Veritabanı

    • SQL enjeksiyonu
    • Ayrıcalık Tanımlamaları
    • Veri Dökümü (Data Dumping)
    • OD Komut Tanımlamaları

    Mobil Uygulama Güvenlik Değerlendirmesi

    Günümüzde mobil uygulamalar WEB uygulamalarını kullanıcı dostu olmaları nedeniyle popüler bir alternatif oldu. Mobil uygulama pazarı Internet Teknolojileri’nin gelişmesiyle hızla büyüyor. Bu durum hem sayısal hem de kalite anlamında sunulan servislerin artmasına neden oluyor. Mobil bankacılık, sosyal ağlar, çevrimiçi alışveriş, rezervasyon sistemleri, servis portalleri ve iş uygulamaları en çok kullanılan mobil servisleridir. Uygulamaların bu denli sık kullanılır hale gelmesi saldırıların da artmasına neden oluyor.

    Positive Technologies Şirketinin 2015 yılında yaptırdığı bir araştırmaya göre Android tabanlı mobil bankacılık uygulamalarının %75’inde, iOS tabanlı uygulamaların ise %33’ünde kritik seviyede zafiyet içerdiğini ortaya koydu. Bu durum bir saldırganın olası bir saldırıda ödeme bilgilerini ele geçirebileceğine neden olabilir. Raporu incelemek için bizimle iletişime geçebilirsiniz.

    Mobil Uygulamalarında yapılacak güvenlik değerlendirmesinin amacı bu tip zafiyetlerin ortaya çıkarmak ve bağımsız gözle güvenlik kalitesini artırmaktır. Güvenlik değerlendirmesinin sıklıkla yapılması uygulamaların güvenlik kalitesi artırmak için çok önemlidir. Böylelikle operasyonel, finansal ve imaj zedelenmesi riski düşer.

    Sibertis olarak Mobil Uygulamalarınızı uzman kadromuzla ve iş ortağımız olan Positive Technologies ile detaylı olarak değerlendiriyor, analizini yapıyor, olası açıklarını raporluyor ve çözüm önerileri sunuyoruz. 

    Mobil Uygulamalarında Genel Olarak Gözlemlenen Zafiyetleri Aşağıda İnceleyebilirsiniz:

    Kullanıcılar

    Tarayıcı

    • Oltalama Atakları
    • Çerçeveleme
    • Tuzak Linkler
    • Kullanıcı Bilgilerinin Çalınması
    • Arabellek Aşımı
    • Veri Önbellekleme

    Uygulama

    • Hassas Verilerin Depolanması
    • Zayıf Şifreleme
    • Hatalı SSL Doğrulama
    • Yapılandırma Manüpülasyonu
    • Çalışma Zamanı Enjeksiyonu
    • Ayrıcalık Tanımlamaları
    • Cihaz Erişimi

    Çağrı/Kısa Mesaj

    • Bant Atakları
    • Kısa Mesaj Oltalaması

    Sistem

    İşletim Sistemi

    • Şifreleme Yönetimi
    • Jailbreak İşlemleri
    • OS Veri Önbellekleme
    • Veri Erişimi
    • Operatör Kaynaklı Yazılımlar
    • Sıfırıncı Gün Atakları

    İletişim Kanalları

    • Zayıf Wi-Fi şifrelemesi
    • Ağdaki kablosuz Erişim Noktaları (Rouge Access Point)
    • Paket Süzme (Packet Sniffing)
    • Ağ içerisindeki Bilgilerin Çalınması
    • Oturum Çalma (Session Hijacking)
    • DNS Zehirleme (DNS Poisoning)
    • Sahte SSL Sertifikası

    Arka Yüz (Back-End)

    WEB Sunucusu

    • Platform Zafiyteleri
    • Hatalı Sunucu Yapılandırması
    • Çapraz Kod Çalıştırma
    • Zayıf Giriş Doğrulaması
    • Parola Ele Geçirme

    Veritabanı

    • SQL enjeksiyonu
    • Ayrıcalık Tanımlamaları
    • Veri Dökümü (Data Dumping)
    • Kullanıcıların sıklıkla girdikleri WEB Sitelerin çökeltirmesi
    • Veri Yönetimi
    • Yetkili Girişleri

    Bizimle İletişime Geçin

    11 + 9 =

     

    İstanbul Genel Merkez

    Esentepe Mah. Büyükdere Cad. Tekfen Kulesi 8. Kat Levent 34394 Şişli/İstanbul

    Tel: 0 212 371 8668

    Ataşehir Operasyon Merkezi

    Vedat Günyol Cad. Flora Plaza 23. Kat Ofis No: 2302 Ataşehir/İstanbul

    Ortadoğu Bölge Ofisi - Dubai

    Emirates Towers, Sheikh Zayed Road, Level 41, PO Box: 31303 Dubai/UAE

    Tel: +971 4 319 7359

    info@sibertis.com.tr