BİLGİ GÜVENLİĞİ DANIŞMANLIK HİZMETLERİ

Hizmetlerimiz > Danışmanlık Hizmetleri > Bilgi Güvenliği Danışmanlık Hizmetleri

BİLGİ GÜVENLİĞİ DANIŞMANLIK HİZMETLERİ

Gelişen teknolojiye daha da önemlisi her geçen gün daha da karmaşık saldırıları düzenleyebilen ve neredeyse hiç açığın olmadığı emin olunan yere bile sızmayı başarabilen saldırganlara ayak uydurmak her zaman mümkün olamayabiliyor. İyi bir güvenlik altyapısı için uygun ürünlerin bütçenize göre seçimi, devreye alınması konularında sizlere yardımcı olabiliriz. Çoğu zaman ürün seçiminden önce ağ genelinde yapılacak risk analizi ve yönetimi, sızma testlerinin uygulanması yapılması daha doğrudur.

Sibertis olarak aşağıdaki konularda uzman ekiplerimizce bilgi güvenliği danışmanlık hizmetleri sağlayabiliriz:

Güvenlik Testleri ve Zafiyet Değerlendirmesi >
Risk Yönetimi >
Sektöre Özel Güvenlik Altyapısı Değerlendirmesi >
Uygulama Güvenlik Değerlendirmesi >

GÜVENLİK TESTLERİ ve ZAFİYET DEĞERLENDİRMESİ

Sibertis olarak hem otomatik tarama işlemleri hem de uzaktan ya da yerinizde uluslararası standartlara uygun manuel sızma testleri gerçekleştirebiliriz. Otomatik tarama testi sisteminize kurulacak uygun bir çözümün ağ genelinde periyodik olarak tarama yapmasıdır. Tarama IP tabanlı yapılır ve tarama esnasından nerelere bakılması gerektiği önceden belirlenebilir. Tarama sıklığı ne kadar çok olursa konumlanması gereken sunucular da o kadar artar. Bu çözümün sahibi kuruluştur. Dolayısı ile de tarama sonunda ortaya çıkan açıkların şirket içerisinde kalması açısından daha güvenlidir. Sibertis olarak bu konuda Ortadoğu ve Türkiye Bölgesi Katma Değerli Distribütörü olduğumuz Positive Technologies firması ile çalışıyoruz. Daha detaylı bilgi için bizimle iletişime geçebilirsiniz.

Manuel yapılan güvenlik testlerinde ise kullandığımız standartlar aşağıdaki gibidir;

PTES Technical Guidelines
NIST (The National Institute of Standards and Technology )
New PCI DSS guidance
OWASP Testing Guide

Testleri uzman ekiplerimizde gerçekleştiriyoruz ve yaptığımız testlerde KVKK, GDPR, HIPAA, PCI-DSS gibi zorunlu ve ISO/IEC 27001:2013, NIST SP 800-53, HITRUST gibi zorunlu olmayan ulusal ve uluslararası standartlara uyuyoruz.

Yaptığımız testlerde genel olarak 4 farklı katmanda çalışıyoruz. Bu 4 katmanın dışında ise sektörel olarak ATM şebekesi, SS7 sinyalizasyon altyapısı güvenlik testlerini de iş ortağımız olan ‘Positive Technologies’ ile gerçekleştiriyoruz.

Genel olarak test ettiğimiz dört katmanı aşağıda inceleyebilirsiniz:

Dışarıdan Sızma (Blackbox)

Bu tip testlerde pentest işlemini yapan kişinin kuruluşa ait hiç bir bilgisi yoktur. Dışarıdan ilgili işletme hakkında bilgi toplanır, açık kapılar belirlenir ve sızma gerçekleşir. Hata payı yüksektir ve uzun bir zaman gerektirir.

Dışarıdan Sızma (Whitebox/Graybox)

Bu tip testlerde pentest işlemini yapan kişi işletme hakkında sınırlı bilgiye sahip müşteri ya da iş ortağı gibi davranır. Pentest yapılacak hedefler çoğunlukla önceden belirlenir. Doğruluk payı daha yüksektir ve göreceli olarak daha kısa zamanda sonuç raporu hazırlanır.

İçeriden Sızma

Bu modelde ise pentest uzmanı işletmenin kendi elemanı gibi davranır. Yetkisiz kullanımları, sistemlerin eksikliklerini tespit etmede çok etkilidir. Şifre kırma, ağa giriş işlemleri bu katmanda yapılır. Güvenlik açıklarının tespitinde ve onarılmasında genellikle içeriden sızma testi yapılır.

Güvenlik Duvarları, Güvenlik Sistemleri testi

Güvenlik politikaları, güvenlik duvarı cihazlarının performansları, işletim sistemlerinin değerlendirilmesi, iş süreçlerinin analizi ile her türlü güvenlik sisteminin yeterliliği ve analizi bu katmanda yapılır.

Sibertis olarak gerçekleştirdiğimiz güvenlik testlerinin tiplerini aşağıda görebilirsiniz:

Ağa Sızma Testleri

Dışarıdan veya içeriden
Black Box, White Box veya Gray Box
Çevresel Altyapı
Kablosuz ağlar, WEP/WPA/WPA2 kırma
Buluta sızma testleri
Telefon sistemler, VOIP

Uygulamalara Sızma Testleri

Web uygulamaları – asp.NET, PHP, Java, XML, APIs, web
Şirketin kendi uygulamaları
Mobil Uygulamalar – Android, IOS
Endüstriyel Kontrol Sistemleri – SCADA
Veritabanları – SQL, MySQL, Oracle

WEB Uygulaması Güvenlik Testleri

SQL enjeksiyon ve çapraz-site zafiyetleri
Sunucu yapılandırma problemleri
Kredi kartı bilgilerinin alınabilmesi için WEB-Sitesine sızma
Önceden saldırıya uğramış WEB Sunucusunu dağıtım ve ağa sızma için kullanma

Fiziksel Sızma Testleri

İşletme içerisine güvenliğin aşılarak girilmesi
Sahte kimlik, başkasının yerine girişler
İşletme içerisine bilgi alma amaçlı çıkarılabilir belleklerin bırakılması

Sosyal Mühendislik Testleri

Çalışanlarla iletişim kurma
Oltalama atakları
Şifreleri ele geçirme
Sosyal medyada yapılan gönderiler üzerinden şirket bilgisi elde etme
İş ortakları, müşteriler
Facebook, Linkedin hesaplarının ele geçirilmesi

Güvenlik Testlerinin Planlanması

Güvenlik testleri kapsamında değerlendirilen sızma testlerinin planlandırılması sonuçları açısından son derece önemlidir. Zafiyetlerin belirlenmesinden sonra ortaya çıkan raporun dikkatli bir şekilde değerlendirilmesi ve ilgili aksiyonların alınması gerekmektedir.

Planlama kapsamında aşağıdaki konular üzerinde anlaşma sağlanmalıdır:

Sızma testlerinin kapsamı (Blackbox/Whitebox/Graybox)
Dışarıdan veya içeriden sızma testi
Testlerin ne kadar sıklıkta yapılacağı
Test sonucunda ortaya çıkabilecek açıkların nasıl kapatılacağı
Test kapsamında DDoS testlerinin de yapılıp yapılmayacağı
Kaç çeşit sonuç raporunun hazırlanacağı (BT ekibine özel, şirket yöneticilerine özel, tüm çalışanlar için)

‘Güvenliğinizi tehlikeye sokabilecek 8 zafiyet kaynağı’ yazımızı inceleyebilirsiniz.

RİSK YÖNETİMİ

Risk Yönetimi en yalın haliyle tehditlerin, güvenlik açıklarının varlıklarınızı ne derecede etkileyeceğinin ölçülmesi işlemidir. Sibertis olarak risklerinizi ortaya çıkartıp ayrıntılı rapor halinde sunduktan sonra giderilmeleri için gereken yolları belirleyebiliriz.

Analizlerimiz sonucunda ortaya çıkan raporlar aşağıdaki hususları içerir:

Genel Özet
- Şirket genelindeki güvenlik gözlemi
- Belirlenen zafiyetler ve riskler
- Zafiyetlerin saldırıya uğrama olasılıkları
Çıkan Sonuçların Grafiksel Gösterimi
- Detaylı yol haritası
- Riskler ile ilgili infografikler
- Diyagramlar ve puanlamalar
Kapsamlı Öneriler
- Her bir zafiyetin giderilmesi için tavsiyeler
- Şirketin genel güvenlik duruşunun düzeltilmesi için öneriler
Önemli zafiyetlerin neden olabileceği sorunlar ilgili gösterimlerin yapılması

Genel olarak Kurumsal Risk Yönetimi İzlediğimiz Yol Aşağıdaki Gibidir

Risk Değerlendirme ve İhtiyaçların belirlenmesi

Önemli bilgi içeren varlıkların tespit edilmesi
İlgili departman sorumluları ile değerlendirme
Risk Yönetiminin sürekliliği

Yönetim Toplantılarının Gerçekleştirilmesi

Önemli etkinlikler için sorumluların atanması
Üst-düzey yöneticilere bağımsız olarak erişimin sağlanması
Bütçe ve kaynakların belirlenmesi
Ekiplerin teknik düzeylerinin düzenli bir ölçülmesi ve artırılması

Şirket Politikalarının Belirlenmesi

Politikaları risklerle bağdaşlaştırma
Politikaları ve kılavuzları hazırlama
Politikaların merkezi grup tarafından desteklenmesi

Siber Farkındalığın Artırılması ve Eğitimler

Kullanıcıların potansiyel riskler konusunda bilgilendirilmesi
Kullanıcı dostu bir şekilde ilginin artırılması

Politikaların Gözden Geçirilmesi ve İyileştirmeler

Riskleri ve verimliliği etkileyen faktörlerin görüntülenmesi
Gelecekte problemlerin yaşanmaması için alınması gereken tedbirler
Yeni teknolojilerin incelenmesi ve uygulanması

SEKTÖRE ÖZEL GÜVENLİK DEĞERLENDİRMELERİ

Telekom Altyapısı Güvenlik Değerlendirmesi

Telekom altyapıları karmaşık ve doğrudan kullanıcıları ilgilendirdiğinden güvenlik testleri de konusunda uzmanlarca yapılmalıdır. Sibertis olarak Telekom Altyapı Güvenlik testleri kapsamında distribütörü olduğumuz Positive Technologies ile birlikte aşağıdaki servisleri sunuyoruz;

SS7 Sinyalleşme Katmanı Güvenlik Değerlendirmesi
Radyo Erişim Ağlarının Güvenlik Değerlendirmesi
Diameter Şebekesi Güvenlik Değerlendirmesi

Telekom Altyapılarında olabilecek önemli tehditlerin bazıları aşağıdaki gibidir:

Faturalandırma sisteminin ele geçirilmesi/atlatılması
Abone bilgilerinin ele geçirilmesi
Abonelere ve ekipmanlara olası DDoS saldırıları
Kullanıcı konuşmalarına, mesajlaşmalarına nüfuz edilmesi

Testler sırasında odaklandığımız konular aşağıdaki gibidir:

Dolandırıcılık (fraud) işlemlerinin ve gelir kaybının azaltılması
Müşteriler ve iş ortakları ile güvenin kazanılması, abone geçişlerinin önlenmesi
Ana şebekenin ve abonelerinin gizliliğini koruma
Kanun ve regülasyonlara uyumluluğunun sağlanması
Olası DDoS ataklarının önlenmesi ve müşteri deneyiminin iyileştirilmesi

Kritik Altyapı Güvenlik Değerlendirmesi

Telekom altyapıları gibi Endüstriyel Kontrol Sistemlerinin Güvenlik Değerlendirmeleri de üretimi doğrudan etkilediği için uzmanlarca ele alınmalıdır. Bu konuda iş ortağımız olan Positive Technologies aşağıdaki hizmetleri sunmaktayız;

Endüstriyel Kontrol Sistemleri (ICS) denetimi
BT işbirimlerine dışarıdan ve içeriden sızma testlerinin yapılması

Endüstriyel Kontrol Sistemleri (ICS) Altyapılarında olabilecek önemli tehditlerin bazıları aşağıdaki gibidir:

Saldırganların yol açabileceği olası kazalar ve yaşam kayıpları
ICS altyapısını ele geçirme
ICS altyapısına içeriden izinsiz ve yetkisiz girişler
Sistem arızaları

Testler sırasında odaklandığımız konular aşağıdaki gibidir:

Uygulama kaynak kodlarının statik, dinamik ve interaktif güvenlik testleri ile analiz edilmesi
Yazılım, gömülü yazılım ve birleşik protokollerin detaylı analizi
Gömülü servislerin mimarilerinin detaylı incelenmesi
ICS altyapısına erişimlerin test edilmesi ve dışarıya olan bağlantılarının test edilmesi
ICS uyumluluk incelemesi
Ağ mimarisinin, ağ servislerinin ve erişimleri analizi

Çevrimiçi Bankacılık Sistemi ve ATM Şebekesi Güvenlik Değerlendirmesi

Günümüzde en çok atak alan sektörlerden birisi finans sektörüdür ve saldırıların başını çevrimiçi bankacılık sistemi ile ATM şebekesine verilen zararlar oluşturmakatdır. Bu konuda iş ortağımız olan Positive Technologies aşağıdaki hizmetleri sunmaktayız;

Çevrimiçi Bankacılık Sistemine (Online Banking System – OLS) içeriden ve dışarıdan sızma testlerinin gerçekleştirilmesi
Otomatik denetim ve sunucu tarafındaki yapılandırmanın analizi
İyileştirme doğrulaması (Remediation Verification)
ATM şebekelerine Blackbox ve Whitebox sızma metotlarının uygulanması

Çevrimiçi Bankacılık Sistemlerinde olabilecek önemli tehditlerin ve zayıflıkların bazıları aşağıdaki gibidir:

Koruma mekanizmalarındaki zayıflıklar
- Tanımlama
- Yetkilendirme
- izin verme
- İşlem güvenliği
İşleyişteki mantıksal hatalar
Uygulama kodundaki zafiyetler
Kullanıcı tarafındaki yetersiz koruma
Sunuculardaki zafiyetler

ATM Şebekelerinde olabilecek önemli tehditlerin ve zayıflıkların bazıları aşağıdaki gibidir:

Zayıf kullanıcı yetkilendirmesi ve erişim kontrolü
Ağ iletişimindeki zafiyetler
Yazılımlardaki ve ATM’lere özel ağ servislerindeki zafiyetler
Güvenlik yazılımındaki zayıflıklar
BIOS güvenliği zafiyetleri
ATM bileşenlerindeki yetersiz güvenlik (PIN girişi, para verme ünitesi, kart okuyucu gibi

Testler sırasında odaklandığımız konular aşağıdaki gibidir:

Sıfırıncı gün ve zafiyetlerin tespit edilmesi
Uygulama kaynak kodlarının statik, dinamik ve interaktif güvenlik testleri ile analiz edilmesi
Yazılım, gömülü yazılım ve birleşik protokollerin detaylı analizi
Gömülü servislerin mimarilerinin detaylı incelenmesi
ATM bileşenlerinin detaylı analizi

WEB & MOBİL UYGULAMA GÜVENLİK DEĞERLENDİRMELERİ

WEB Uygulama Güvenlik Değerlendirmesi

Günümüzde iş süreçlerinin yönetilmesinde modern yaklaşım WEB teknolojileri sıklıkla kullanılıyor. Kurumsal WEB Siteleri, kurumsal portaller, çevrimiçi mağazalar, servis portalleri, elektronik ticaret platformları, sosyal medya platformları her gün milyonlarca kişinin kullandığı web servislerinin sadece bir kaçı. Halka açık web siteleri işletmelerin sadece imajı değil ürünlerinin satışı için oldukça kolaylık sağlayan hizmetlerdir. Web sitelerindeki olası açıklar, zafiyetler, ataklar işletmeler için önemli derecede finansal kayıp ve imaj zedelenmesi sonuçlarını doğurabilir.

Positive Technologies Şirketinin 2016 yılında yaptırdığı bir araştırmaya göre WEB uygulamaların %58’i kritik seviyede zafiyet içermektedir. Bu rakam 2017 yılında %52’e düşmüşse de sadece tek bir zafiyetin bile ilgili sunucunun tamamıyla çökmesine sebep olabilir. Raporları incelemek için bizimle iletişime geçebilirsiniz.

WEB Uygulamalarında yapılacak güvenlik değerlendirmesinin amacı bu tip zafiyetlerin ortaya çıkarmak ve bağımsız gözle güvenlik kalitesini artırmaktır. Güvenlik değerlendirmesinin sıklıkla yapılması uygulamaların güvenlik kalitesi artırmak için çok önemlidir. Böylelikle operasyonel, finansal ve imaj zedelenmesi riski düşer.

Sibertis olarak WEB Uygulamalarınızı uzman kadromuzla ve iş ortağımız olan Positive Technologies ile detaylı olarak değerlendiriyor, analizini yapıyor, olası açıklarını raporluyor ve çözüm önerileri sunuyoruz.

WEB Uygulamalarında Genel Olarak Gözlemlenen Zafiyetleri Aşağıda İnceleyebilirsiniz:

Kullanıcılar

Şifre Yönetimi
Sosyal Mühendislik
Oltalama Atakları
Güncelleme Yönetimi
Kullanıcıların sıklıkla girdikleri WEB Sitelerin çökeltirmesi
Veri Yönetimi
Yetkili Girişleri

Uygulama

Çapraz Kod Çalıştırma (Cross-site Scripting XSS)
Zayıf Giriş Doğrulaması
Parola Ele geçirme (Brute Force Attacks)
Oltalama Atakları
Güncelleme Yönetimi
Kullanıcıların sıklıkla girdikleri WEB Sitelerin çökeltirmesi
Veri Yönetimi
Yetkili Girişleri

Tarayıcı

Oltalama Atakları
Çapraz Çerçeve Çalıştırma
Tuzak linkler (Clickjacking)
Tarayıcı içerisindeki Kullanıcı Bilgilerinin Çalınması (Man in the Browser)
Arabellek Aşım (Buffer Overflow) Atakları
Veri Önbellekleme

Arka Yüz (Back-End)

WEB Sunucusu

Platform Zafiyetleri
Hatalı Sunucu Yapılandırması
Çapraz Kod Çalıştırma
Zayıf Giriş Doğrulaması
Parola Ele Geçirme

Veritabanı

SQL enjeksiyonu
Ayrıcalık Tanımlamaları
Veri Dökümü (Data Dumping)
OD Komut Tanımlamaları

Mobil Uygulama Güvenlik Değerlendirmesi

Günümüzde mobil uygulamalar WEB uygulamalarını kullanıcı dostu olmaları nedeniyle popüler bir alternatif oldu. Mobil uygulama pazarı Internet Teknolojileri’nin gelişmesiyle hızla büyüyor. Bu durum hem sayısal hem de kalite anlamında sunulan servislerin artmasına neden oluyor. Mobil bankacılık, sosyal ağlar, çevrimiçi alışveriş, rezervasyon sistemleri, servis portalleri ve iş uygulamaları en çok kullanılan mobil servisleridir. Uygulamaların bu denli sık kullanılır hale gelmesi saldırıların da artmasına neden oluyor.

Positive Technologies Şirketinin 2015 yılında yaptırdığı bir araştırmaya göre Android tabanlı mobil bankacılık uygulamalarının %75’inde, iOS tabanlı uygulamaların ise %33’ünde kritik seviyede zafiyet içerdiğini ortaya koydu. Bu durum bir saldırganın olası bir saldırıda ödeme bilgilerini ele geçirebileceğine neden olabilir. Raporu incelemek için bizimle iletişime geçebilirsiniz.

Mobil Uygulamalarında yapılacak güvenlik değerlendirmesinin amacı bu tip zafiyetlerin ortaya çıkarmak ve bağımsız gözle güvenlik kalitesini artırmaktır. Güvenlik değerlendirmesinin sıklıkla yapılması uygulamaların güvenlik kalitesi artırmak için çok önemlidir. Böylelikle operasyonel, finansal ve imaj zedelenmesi riski düşer.

Sibertis olarak Mobil Uygulamalarınızı uzman kadromuzla ve iş ortağımız olan Positive Technologies ile detaylı olarak değerlendiriyor, analizini yapıyor, olası açıklarını raporluyor ve çözüm önerileri sunuyoruz.