Hizmetlerimiz > Danışmanlık Hizmetleri > Bilgi Güvenliği Danışmanlık Hizmetleri
BİLGİ GÜVENLİĞİ DANIŞMANLIK HİZMETLERİ
Gelişen teknolojiye daha da önemlisi her geçen gün daha da karmaşık saldırıları düzenleyebilen ve neredeyse hiç açığın olmadığı emin olunan yere bile sızmayı başarabilen saldırganlara ayak uydurmak her zaman mümkün olamayabiliyor. İyi bir güvenlik altyapısı için uygun ürünlerin bütçenize göre seçimi, devreye alınması konularında sizlere yardımcı olabiliriz. Çoğu zaman ürün seçiminden önce ağ genelinde yapılacak risk analizi ve yönetimi, sızma testlerinin uygulanması yapılması daha doğrudur.
Sibertis olarak aşağıdaki konularda uzman ekiplerimizce bilgi güvenliği danışmanlık hizmetleri sağlayabiliriz:
GÜVENLİK TESTLERİ ve ZAFİYET DEĞERLENDİRMESİ
Sibertis olarak hem otomatik tarama işlemleri hem de uzaktan ya da yerinizde uluslararası standartlara uygun manuel sızma testleri gerçekleştirebiliriz. Otomatik tarama testi sisteminize kurulacak uygun bir çözümün ağ genelinde periyodik olarak tarama yapmasıdır. Tarama IP tabanlı yapılır ve tarama esnasından nerelere bakılması gerektiği önceden belirlenebilir. Tarama sıklığı ne kadar çok olursa konumlanması gereken sunucular da o kadar artar. Bu çözümün sahibi kuruluştur. Dolayısı ile de tarama sonunda ortaya çıkan açıkların şirket içerisinde kalması açısından daha güvenlidir. Sibertis olarak bu konuda Ortadoğu ve Türkiye Bölgesi Katma Değerli Distribütörü olduğumuz Positive Technologies firması ile çalışıyoruz. Daha detaylı bilgi için bizimle iletişime geçebilirsiniz.
Manuel yapılan güvenlik testlerinde ise kullandığımız standartlar aşağıdaki gibidir;
- PTES Technical Guidelines
- NIST (The National Institute of Standards and Technology )
- New PCI DSS guidance
- OWASP Testing Guide
Testleri uzman ekiplerimizde gerçekleştiriyoruz ve yaptığımız testlerde KVKK, GDPR, HIPAA, PCI-DSS gibi zorunlu ve ISO/IEC 27001:2013, NIST SP 800-53, HITRUST gibi zorunlu olmayan ulusal ve uluslararası standartlara uyuyoruz.
Yaptığımız testlerde genel olarak 4 farklı katmanda çalışıyoruz. Bu 4 katmanın dışında ise sektörel olarak ATM şebekesi, SS7 sinyalizasyon altyapısı güvenlik testlerini de iş ortağımız olan ‘Positive Technologies’ ile gerçekleştiriyoruz.
Genel olarak test ettiğimiz dört katmanı aşağıda inceleyebilirsiniz:

Dışarıdan Sızma (Blackbox)
Bu tip testlerde pentest işlemini yapan kişinin kuruluşa ait hiç bir bilgisi yoktur. Dışarıdan ilgili işletme hakkında bilgi toplanır, açık kapılar belirlenir ve sızma gerçekleşir. Hata payı yüksektir ve uzun bir zaman gerektirir.

Dışarıdan Sızma (Whitebox/Graybox)
Bu tip testlerde pentest işlemini yapan kişi işletme hakkında sınırlı bilgiye sahip müşteri ya da iş ortağı gibi davranır. Pentest yapılacak hedefler çoğunlukla önceden belirlenir. Doğruluk payı daha yüksektir ve göreceli olarak daha kısa zamanda sonuç raporu hazırlanır.

İçeriden Sızma
Bu modelde ise pentest uzmanı işletmenin kendi elemanı gibi davranır. Yetkisiz kullanımları, sistemlerin eksikliklerini tespit etmede çok etkilidir. Şifre kırma, ağa giriş işlemleri bu katmanda yapılır. Güvenlik açıklarının tespitinde ve onarılmasında genellikle içeriden sızma testi yapılır.

Güvenlik Duvarları, Güvenlik Sistemleri testi
Güvenlik politikaları, güvenlik duvarı cihazlarının performansları, işletim sistemlerinin değerlendirilmesi, iş süreçlerinin analizi ile her türlü güvenlik sisteminin yeterliliği ve analizi bu katmanda yapılır.
Sibertis olarak gerçekleştirdiğimiz güvenlik testlerinin tiplerini aşağıda görebilirsiniz:

Ağa Sızma Testleri
- Dışarıdan veya içeriden
- Black Box, White Box veya Gray Box
- Çevresel Altyapı
- Kablosuz ağlar, WEP/WPA/WPA2 kırma
- Buluta sızma testleri
- Telefon sistemler, VOIP

Uygulamalara Sızma Testleri
- Web uygulamaları – asp.NET, PHP, Java, XML, APIs, web
- Şirketin kendi uygulamaları
- Mobil Uygulamalar – Android, IOS
- Endüstriyel Kontrol Sistemleri – SCADA
- Veritabanları – SQL, MySQL, Oracle

WEB Uygulaması Güvenlik Testleri
- SQL enjeksiyon ve çapraz-site zafiyetleri
- Sunucu yapılandırma problemleri
- Kredi kartı bilgilerinin alınabilmesi için WEB-Sitesine sızma
- Önceden saldırıya uğramış WEB Sunucusunu dağıtım ve ağa sızma için kullanma

Fiziksel Sızma Testleri
- İşletme içerisine güvenliğin aşılarak girilmesi
- Sahte kimlik, başkasının yerine girişler
- İşletme içerisine bilgi alma amaçlı çıkarılabilir belleklerin bırakılması

Sosyal Mühendislik Testleri
- Çalışanlarla iletişim kurma
- Oltalama atakları
- Şifreleri ele geçirme
- Sosyal medyada yapılan gönderiler üzerinden şirket bilgisi elde etme
- İş ortakları, müşteriler
- Facebook, Linkedin hesaplarının ele geçirilmesi
Güvenlik Testlerinin Planlanması
Güvenlik testleri kapsamında değerlendirilen sızma testlerinin planlandırılması sonuçları açısından son derece önemlidir. Zafiyetlerin belirlenmesinden sonra ortaya çıkan raporun dikkatli bir şekilde değerlendirilmesi ve ilgili aksiyonların alınması gerekmektedir.
Planlama kapsamında aşağıdaki konular üzerinde anlaşma sağlanmalıdır:
- Sızma testlerinin kapsamı (Blackbox/Whitebox/Graybox)
- Dışarıdan veya içeriden sızma testi
- Testlerin ne kadar sıklıkta yapılacağı
- Test sonucunda ortaya çıkabilecek açıkların nasıl kapatılacağı
- Test kapsamında DDoS testlerinin de yapılıp yapılmayacağı
- Kaç çeşit sonuç raporunun hazırlanacağı (BT ekibine özel, şirket yöneticilerine özel, tüm çalışanlar için)
RİSK YÖNETİMİ
Risk Yönetimi en yalın haliyle tehditlerin, güvenlik açıklarının varlıklarınızı ne derecede etkileyeceğinin ölçülmesi işlemidir. Sibertis olarak risklerinizi ortaya çıkartıp ayrıntılı rapor halinde sunduktan sonra giderilmeleri için gereken yolları belirleyebiliriz.
Analizlerimiz sonucunda ortaya çıkan raporlar aşağıdaki hususları içerir:
- Genel Özet
- Şirket genelindeki güvenlik gözlemi
- Belirlenen zafiyetler ve riskler
- Zafiyetlerin saldırıya uğrama olasılıkları
- Çıkan Sonuçların Grafiksel Gösterimi
- Detaylı yol haritası
- Riskler ile ilgili infografikler
- Diyagramlar ve puanlamalar
- Kapsamlı Öneriler
- Her bir zafiyetin giderilmesi için tavsiyeler
- Şirketin genel güvenlik duruşunun düzeltilmesi için öneriler
- Önemli zafiyetlerin neden olabileceği sorunlar ilgili gösterimlerin yapılması
Genel olarak Kurumsal Risk Yönetimi İzlediğimiz Yol Aşağıdaki Gibidir

Risk Değerlendirme ve İhtiyaçların belirlenmesi
- Önemli bilgi içeren varlıkların tespit edilmesi
- İlgili departman sorumluları ile değerlendirme
- Risk Yönetiminin sürekliliği

Yönetim Toplantılarının Gerçekleştirilmesi
- Önemli etkinlikler için sorumluların atanması
- Üst-düzey yöneticilere bağımsız olarak erişimin sağlanması
- Bütçe ve kaynakların belirlenmesi
- Ekiplerin teknik düzeylerinin düzenli bir ölçülmesi ve artırılması

Şirket Politikalarının Belirlenmesi
- Politikaları risklerle bağdaşlaştırma
- Politikaları ve kılavuzları hazırlama
- Politikaların merkezi grup tarafından desteklenmesi

Siber Farkındalığın Artırılması ve Eğitimler
- Kullanıcıların potansiyel riskler konusunda bilgilendirilmesi
- Kullanıcı dostu bir şekilde ilginin artırılması

Politikaların Gözden Geçirilmesi ve İyileştirmeler
- Riskleri ve verimliliği etkileyen faktörlerin görüntülenmesi
- Gelecekte problemlerin yaşanmaması için alınması gereken tedbirler
- Yeni teknolojilerin incelenmesi ve uygulanması
SEKTÖRE ÖZEL GÜVENLİK DEĞERLENDİRMELERİ
Telekom Altyapısı Güvenlik Değerlendirmesi
Telekom altyapıları karmaşık ve doğrudan kullanıcıları ilgilendirdiğinden güvenlik testleri de konusunda uzmanlarca yapılmalıdır. Sibertis olarak Telekom Altyapı Güvenlik testleri kapsamında distribütörü olduğumuz Positive Technologies ile birlikte aşağıdaki servisleri sunuyoruz;
- SS7 Sinyalleşme Katmanı Güvenlik Değerlendirmesi
- Radyo Erişim Ağlarının Güvenlik Değerlendirmesi
- Diameter Şebekesi Güvenlik Değerlendirmesi
Telekom Altyapılarında olabilecek önemli tehditlerin bazıları aşağıdaki gibidir:
- Faturalandırma sisteminin ele geçirilmesi/atlatılması
- Abone bilgilerinin ele geçirilmesi
- Abonelere ve ekipmanlara olası DDoS saldırıları
- Kullanıcı konuşmalarına, mesajlaşmalarına nüfuz edilmesi
Testler sırasında odaklandığımız konular aşağıdaki gibidir:
- Dolandırıcılık (fraud) işlemlerinin ve gelir kaybının azaltılması
- Müşteriler ve iş ortakları ile güvenin kazanılması, abone geçişlerinin önlenmesi
- Ana şebekenin ve abonelerinin gizliliğini koruma
- Kanun ve regülasyonlara uyumluluğunun sağlanması
- Olası DDoS ataklarının önlenmesi ve müşteri deneyiminin iyileştirilmesi

Kritik Altyapı Güvenlik Değerlendirmesi
Telekom altyapıları gibi Endüstriyel Kontrol Sistemlerinin Güvenlik Değerlendirmeleri de üretimi doğrudan etkilediği için uzmanlarca ele alınmalıdır. Bu konuda iş ortağımız olan Positive Technologies aşağıdaki hizmetleri sunmaktayız;
- Endüstriyel Kontrol Sistemleri (ICS) denetimi
- BT işbirimlerine dışarıdan ve içeriden sızma testlerinin yapılması
Endüstriyel Kontrol Sistemleri (ICS) Altyapılarında olabilecek önemli tehditlerin bazıları aşağıdaki gibidir:
- Saldırganların yol açabileceği olası kazalar ve yaşam kayıpları
- ICS altyapısını ele geçirme
- ICS altyapısına içeriden izinsiz ve yetkisiz girişler
- Sistem arızaları
Testler sırasında odaklandığımız konular aşağıdaki gibidir:
- Uygulama kaynak kodlarının statik, dinamik ve interaktif güvenlik testleri ile analiz edilmesi
- Yazılım, gömülü yazılım ve birleşik protokollerin detaylı analizi
- Gömülü servislerin mimarilerinin detaylı incelenmesi
- ICS altyapısına erişimlerin test edilmesi ve dışarıya olan bağlantılarının test edilmesi
- ICS uyumluluk incelemesi
- Ağ mimarisinin, ağ servislerinin ve erişimleri analizi

Çevrimiçi Bankacılık Sistemi ve ATM Şebekesi Güvenlik Değerlendirmesi
Günümüzde en çok atak alan sektörlerden birisi finans sektörüdür ve saldırıların başını çevrimiçi bankacılık sistemi ile ATM şebekesine verilen zararlar oluşturmakatdır. Bu konuda iş ortağımız olan Positive Technologies aşağıdaki hizmetleri sunmaktayız;
- Çevrimiçi Bankacılık Sistemine (Online Banking System – OLS) içeriden ve dışarıdan sızma testlerinin gerçekleştirilmesi
- Otomatik denetim ve sunucu tarafındaki yapılandırmanın analizi
- İyileştirme doğrulaması (Remediation Verification)
- ATM şebekelerine Blackbox ve Whitebox sızma metotlarının uygulanması
Çevrimiçi Bankacılık Sistemlerinde olabilecek önemli tehditlerin ve zayıflıkların bazıları aşağıdaki gibidir:
- Koruma mekanizmalarındaki zayıflıklar
- Tanımlama
- Yetkilendirme
- izin verme
- İşlem güvenliği
- İşleyişteki mantıksal hatalar
- Uygulama kodundaki zafiyetler
- Kullanıcı tarafındaki yetersiz koruma
- Sunuculardaki zafiyetler
ATM Şebekelerinde olabilecek önemli tehditlerin ve zayıflıkların bazıları aşağıdaki gibidir:
- Zayıf kullanıcı yetkilendirmesi ve erişim kontrolü
- Ağ iletişimindeki zafiyetler
- Yazılımlardaki ve ATM’lere özel ağ servislerindeki zafiyetler
- Güvenlik yazılımındaki zayıflıklar
- BIOS güvenliği zafiyetleri
- ATM bileşenlerindeki yetersiz güvenlik (PIN girişi, para verme ünitesi, kart okuyucu gibi
Testler sırasında odaklandığımız konular aşağıdaki gibidir:
- Sıfırıncı gün ve zafiyetlerin tespit edilmesi
- Uygulama kaynak kodlarının statik, dinamik ve interaktif güvenlik testleri ile analiz edilmesi
- Yazılım, gömülü yazılım ve birleşik protokollerin detaylı analizi
- Gömülü servislerin mimarilerinin detaylı incelenmesi
- ATM bileşenlerinin detaylı analizi

WEB & MOBİL UYGULAMA GÜVENLİK DEĞERLENDİRMELERİ
WEB Uygulama Güvenlik Değerlendirmesi
Günümüzde iş süreçlerinin yönetilmesinde modern yaklaşım WEB teknolojileri sıklıkla kullanılıyor. Kurumsal WEB Siteleri, kurumsal portaller, çevrimiçi mağazalar, servis portalleri, elektronik ticaret platformları, sosyal medya platformları her gün milyonlarca kişinin kullandığı web servislerinin sadece bir kaçı. Halka açık web siteleri işletmelerin sadece imajı değil ürünlerinin satışı için oldukça kolaylık sağlayan hizmetlerdir. Web sitelerindeki olası açıklar, zafiyetler, ataklar işletmeler için önemli derecede finansal kayıp ve imaj zedelenmesi sonuçlarını doğurabilir.
Positive Technologies Şirketinin 2016 yılında yaptırdığı bir araştırmaya göre WEB uygulamaların %58’i kritik seviyede zafiyet içermektedir. Bu rakam 2017 yılında %52’e düşmüşse de sadece tek bir zafiyetin bile ilgili sunucunun tamamıyla çökmesine sebep olabilir. Raporları incelemek için bizimle iletişime geçebilirsiniz.
WEB Uygulamalarında yapılacak güvenlik değerlendirmesinin amacı bu tip zafiyetlerin ortaya çıkarmak ve bağımsız gözle güvenlik kalitesini artırmaktır. Güvenlik değerlendirmesinin sıklıkla yapılması uygulamaların güvenlik kalitesi artırmak için çok önemlidir. Böylelikle operasyonel, finansal ve imaj zedelenmesi riski düşer.
Sibertis olarak WEB Uygulamalarınızı uzman kadromuzla ve iş ortağımız olan Positive Technologies ile detaylı olarak değerlendiriyor, analizini yapıyor, olası açıklarını raporluyor ve çözüm önerileri sunuyoruz.
WEB Uygulamalarında Genel Olarak Gözlemlenen Zafiyetleri Aşağıda İnceleyebilirsiniz:


Kullanıcılar
- Şifre Yönetimi
- Sosyal Mühendislik
- Oltalama Atakları
- Güncelleme Yönetimi
- Kullanıcıların sıklıkla girdikleri WEB Sitelerin çökeltirmesi
- Veri Yönetimi
- Yetkili Girişleri

Uygulama
- Çapraz Kod Çalıştırma (Cross-site Scripting XSS)
- Zayıf Giriş Doğrulaması
- Parola Ele geçirme (Brute Force Attacks)
- Oltalama Atakları
- Güncelleme Yönetimi
- Kullanıcıların sıklıkla girdikleri WEB Sitelerin çökeltirmesi
- Veri Yönetimi
- Yetkili Girişleri

Tarayıcı
- Oltalama Atakları
- Çapraz Çerçeve Çalıştırma
- Tuzak linkler (Clickjacking)
- Tarayıcı içerisindeki Kullanıcı Bilgilerinin Çalınması (Man in the Browser)
- Arabellek Aşım (Buffer Overflow) Atakları
- Veri Önbellekleme

Arka Yüz (Back-End)
WEB Sunucusu
- Platform Zafiyetleri
- Hatalı Sunucu Yapılandırması
- Çapraz Kod Çalıştırma
- Zayıf Giriş Doğrulaması
- Parola Ele Geçirme
Veritabanı
- SQL enjeksiyonu
- Ayrıcalık Tanımlamaları
- Veri Dökümü (Data Dumping)
- OD Komut Tanımlamaları
Mobil Uygulama Güvenlik Değerlendirmesi
Günümüzde mobil uygulamalar WEB uygulamalarını kullanıcı dostu olmaları nedeniyle popüler bir alternatif oldu. Mobil uygulama pazarı Internet Teknolojileri’nin gelişmesiyle hızla büyüyor. Bu durum hem sayısal hem de kalite anlamında sunulan servislerin artmasına neden oluyor. Mobil bankacılık, sosyal ağlar, çevrimiçi alışveriş, rezervasyon sistemleri, servis portalleri ve iş uygulamaları en çok kullanılan mobil servisleridir. Uygulamaların bu denli sık kullanılır hale gelmesi saldırıların da artmasına neden oluyor.
Positive Technologies Şirketinin 2015 yılında yaptırdığı bir araştırmaya göre Android tabanlı mobil bankacılık uygulamalarının %75’inde, iOS tabanlı uygulamaların ise %33’ünde kritik seviyede zafiyet içerdiğini ortaya koydu. Bu durum bir saldırganın olası bir saldırıda ödeme bilgilerini ele geçirebileceğine neden olabilir. Raporu incelemek için bizimle iletişime geçebilirsiniz.
Mobil Uygulamalarında yapılacak güvenlik değerlendirmesinin amacı bu tip zafiyetlerin ortaya çıkarmak ve bağımsız gözle güvenlik kalitesini artırmaktır. Güvenlik değerlendirmesinin sıklıkla yapılması uygulamaların güvenlik kalitesi artırmak için çok önemlidir. Böylelikle operasyonel, finansal ve imaj zedelenmesi riski düşer.
Sibertis olarak Mobil Uygulamalarınızı uzman kadromuzla ve iş ortağımız olan Positive Technologies ile detaylı olarak değerlendiriyor, analizini yapıyor, olası açıklarını raporluyor ve çözüm önerileri sunuyoruz.
Mobil Uygulamalarında Genel Olarak Gözlemlenen Zafiyetleri Aşağıda İnceleyebilirsiniz:


Kullanıcılar
Tarayıcı
- Oltalama Atakları
- Çerçeveleme
- Tuzak Linkler
- Kullanıcı Bilgilerinin Çalınması
- Arabellek Aşımı
- Veri Önbellekleme
Uygulama
- Hassas Verilerin Depolanması
- Zayıf Şifreleme
- Hatalı SSL Doğrulama
- Yapılandırma Manüpülasyonu
- Çalışma Zamanı Enjeksiyonu
- Ayrıcalık Tanımlamaları
- Cihaz Erişimi
Çağrı/Kısa Mesaj
- Bant Atakları
- Kısa Mesaj Oltalaması

Sistem
İşletim Sistemi
- Şifreleme Yönetimi
- Jailbreak İşlemleri
- OS Veri Önbellekleme
- Veri Erişimi
- Operatör Kaynaklı Yazılımlar
- Sıfırıncı Gün Atakları

Ağ
İletişim Kanalları
- Zayıf Wi-Fi şifrelemesi
- Ağdaki kablosuz Erişim Noktaları (Rouge Access Point)
- Paket Süzme (Packet Sniffing)
- Ağ içerisindeki Bilgilerin Çalınması
- Oturum Çalma (Session Hijacking)
- DNS Zehirleme (DNS Poisoning)
- Sahte SSL Sertifikası

Arka Yüz (Back-End)
WEB Sunucusu
- Platform Zafiyteleri
- Hatalı Sunucu Yapılandırması
- Çapraz Kod Çalıştırma
- Zayıf Giriş Doğrulaması
- Parola Ele Geçirme
Veritabanı
- SQL enjeksiyonu
- Ayrıcalık Tanımlamaları
- Veri Dökümü (Data Dumping)
- Kullanıcıların sıklıkla girdikleri WEB Sitelerin çökeltirmesi
- Veri Yönetimi
- Yetkili Girişleri
İletişim Formu

İstanbul Genel Merkez
Saray Mah. Dr. Adnan Büyükdeniz Cad. Cessas Plaza Blok 4/21 Ümraniye İstanbul
Tel: 0 216 386 6888
Ataşehir Operasyon Merkezi
Vedat Günyol Cad. Flora Plaza 23. Kat Ofis No: 2302 Ataşehir/İstanbul
Tel: 0 216 359 7943
Ortadoğu Bölge Ofisi - Dubai
Boulaverd Plaza Tower 1 Sheikh Mohammed Bin Rashid Boulevard, Downtown, Dubai, Dubai United Arab Emirates
Tel: +971 (4) 401 8553
info@sibertis.com.tr
Son Kullanıcı Güvenliği ve Denetimi
• Uç-Nokta Koruması
• Tam Disk/Dosya Şifrelemesi
• Veri Kaybı/Sızıntısı Önleme
• Veri Sınıflandırma
• Son Kullanıcı Denetimi ve Takibi
• Mobil Cihaz Denetimi ve Koruması
Sistem Altyapı Güvenliği
• Sunucu Güvenliği
• Veri Depolama Güvenliği
Veritabanı Güvenliği
• Veritabanı Güvenlik Duvarı
• Veri Maskeleme
• Veri Keşfi
Ağ Güvenliği
• Yeni Nesil Güvenlik Duvarı
• WEB Koruması ve Filtreleme
• E-posta Koruması
• Ağ Erişim Kontrolü (Network Access Control - NAC)
Uygulama Güvenliği
• WEB Uygulama Güvenlik Duvarı (WAF)
• Kod Analizi ( Application Inpection - AI)
Siber Olaylara Müdahale
• Güvenlik Bilgisi ve Olay Yönetimi (SIEM)
• Zafiyet (Güvenlik Açığı) Yönetimi
• Siber İstihbarat ve Hedefli Saldırıları Önleme (Anti_APT)
Kritik Altyapı Güvenliği
• Endüstriyel Kontrol Sistemleri Güvenliği
• Telekom Altyapı Güvenliği
Temel Altyapı Çözümleri
• Sunucular
• Veri Depolama Çözümleri
• Depolama Alan Ağları
Ağ Altyapı Çözümleri
• Anahtarlar
• Yönlendiriciler
• Erişim Noktaları
• Yük Dengeleyiciler
Bilgi Güvenliği Danışmanlık Hizmetleri
- Güvenlik Testleri (Zafiyet Yönetimi, Penetrasyon/Sızma Testleri)
- Risk Yönetimi
- Telekom Altyapısı Güvenlik Değerlendirmesi
- Endüstriyel Sistemler Güvenlik Değerlendirmesi
- Çevrimiçi Bankacılık ve ATM Şebekeleri Güvenlik Değerlendirmesi
- WEB ve Mobil Uygulama Güvenlik Değerlendirmesi