Contact Us: +90 216 386 6888 (Tr) / +971 (4) 401 8553 (UAE) info@sibertis.com.tr

Güvenlik altyapınız ne kadar kompleks ve hatta mükemmele yakın olursa olsun, işletmenizin güvenliğini tehdit eden gözden kaçmış bir zafiyet her zaman bulunabilir. Bu zafiyet kolaylıkla saldırganlar tarafından keşfedilebilir ve sonuç büyük felaketlere yol açabilir.

Saldırganlar yeni çıkan tüm teknolojilere rağmen kendilerini sürekli olarak geliştirmekte ve yeni taktikler üretmektedirler. Denizaşırı ülkelerden gerçekleştirilebilecek bir siber saldırı, fiziksel bir saldırıya göre çok daha az maliyetlidir. Daha da önemlisi, Stuxnet, Duqu, Turla, Atlas ve daha birçoklarında olduğu gibi etkileri çok daha geniş çaplı olabilir. Hedefli yapılan bir siber saldırının ortalama hazırlık süresi yaklaşık 3 aydır, saldırının tespit edilme süresi ise 6 ay ila 1 yıl arasında değişebilmektedir. Bu süre boyunca çalınan bilginin değeri işletmeler için hayati derecede önemli olabilmektedir. Saldırılar, kötü amaçlı yazılımlar ile doğrudan hedefe yönelik ve geniş ekiplerce yapılabildiği gibi sosyal mühendislik şeklinde de olabilmektedir.

Saldırganların en büyük motivasyonu ise kimlikleri tespit edilse bile çoğu zaman farklı ülkelerde oldukları için yakalanamamasıdır. Zira, 2010 yılından bu yana gerçekleşen siber saldırıların büyük bir kısmı büyük kuruluşlar ve hatta hükümetler tarafından maddi anlamda desteklenmektedir.

Sibertis olarak, 2017 ve 2018 yıllarında gerçekleştirdiğimiz penetrasyon testlerinde işletmelerin %98 oranında zafiyetleri olduğunu tespit ettik. Bu zafiyetlerin %80’e yakını şirket ağlarındaki ve sistemlerindeki açıklar olup geri kalanı ise WEB uygulamalarındaki açıklardır. Toplam zafiyetlerin %19’u ise yüksek derecede riskli olarak raporlanmıştır. %3’ünde ise saldırı izi tespit edilmiştir. Bu saldırılar işletmenin kamera sistemine erişim, dosya sunucusuna erişim, müşteri bilgilerinin veya gizli belgelerin ele geçirilmesi veya herhangi bir WEB uygulamasının kaynak kodunu ele geçirme veya doğrudan koda müdahale şeklinde olabilmektedir.

Günümüzdeki teknolojik gelişmelere bağlı olarak, işletmeler belirli aralıklarla zafiyet analizi yaptırmak zorundadır. Bunun da en iyi yolu penetrasyon testi yaptırmaktan geçmektedir. Penetrasyon testleri şirket içinden veya dışından yapılabilmektedir. Her iki durumda da temel amaç zafiyetlerin saldırganların gözüyle tespit edilmesi ve önlemlerin zamanında alınmasıdır.

Aşağıda işletmenizin neden penetrasyon testine ihtiyaç duyduğunu 5 başlık altında incelemeye çalıştık.

Zafiyetlerinizi saldırganlardan önce tespit edin ve gerekli önlemleri alın.

Penetrasyon testi ile gerçek saldırı arasındaki en temel fark, penetrasyon testi sayesinde zafiyetlerin işletmenin bilgisi dahilinde zamanında ortaya çıkarılması ve bu zafiyetlerin giderilmesi için alınması gereken önlemlerin ilgili işletmeye ayrıntılı biçimde raporlanmasıdır. Bu sayede işletmeler zafiyetlerini saldırganlardan önce tespit edebilmekte ve gerekli önlemleri alabilmektedir.

Testler sonucunda tespit edilen tüm riskler derecelerine göre sınıflandırılmaktadır ve risk yönetimi için stratejik öneriler yapılmaktadır. Önerilen önlemler arasında firewall (güvenlik duvarı) kurallarının gözden geçirilmesi, yamaların ve güncellemelerin gerçekleştirilmesi, altyapı sistemlerinin birbirleriyle olan uyumluluğu, log toplama ve analiz yöntemlerinin iyileştirilmesi, gizli bilgilerin işletme dışına çıkmamasının sağlanması, şirket ağına erişim kurallarının gözden geçirilmesi gibi birbirinden çok farklı konular olabilmektedir.

İyileştirme maliyetlerini düşürün ve ağınızı her zaman erişilebilir kılın.

Başarılı bir saldırının yol açacağı hasarlar arasında gizli bilgilerin ifşa edilmesi, lokal veya global regülasyonlara uyulmaması nedeniyle kesilen cezalar, para ve imaj kayıpları, müşteri bilgilerinin çalınması ve hatta şirketin batması şeklinde olabilir. Bu hasarları gidermek için yapılması gereken altyapı revizyonları, ekiplerin değişmesi, ceza ödemeleri milyonlarca doları bulabilmektedir. Halbuki ayrıntılı bir penetrasyon testi ile olası hasarlar kolaylıkla bertaraf edilebilir.

Güvenlik kalitenizi artırın.  

Penetrasyon testinin diğer büyük amacı ise işletmenin güvenlik kalitesinin detaylı olarak analiz edilmesi ve değerlendirilmesidir. Test sonrasında yapılacak yüksek-seviyede bir raporlama ile üst yönetimin güvenlik açıklarını ve riskleri fark etmesi ve yapılması gereken yatırımları farkına varması sağlanır.

Penetrasyon testleri sırasında OWASP, PTES, NIST SP800-115, ISECOM OSSTMM3 gibi metotlar kullanılır. Yapılan tüm işlemler işletmenin bilgisi dahilinde olmalıdır. Ayrıca penetrasyon testini gerçekleştirecek kişiler, alanlarında uzman ve gerekli sertifikaları edinmiş olmalıdır. Manuel testlerin yanısıra otomatik tarama yapan araçlar da kullanılabilmektedir. Tüm testler, analizler ve raporlamalar gizlilik sözleşmesi ile garanti altına alınmalıdır. Ortalama bir test 15 ila 20 iş günü sürebilir. Bu süre sonunda işletmenin güvenlik röntgeni kesin olarak çekilmiş olur. İşletmenin güvenlik altyapı kalitesi diğer tüm işletmelere göre genel olarak ve işkolu özelinde derecelendirilir.

Güvenlik regülasyonlarına uyumluluk sağlayın.      

PCI, HIPAA, ISO27001, KVKK, GDPR gibi regülasyonlar penetrasyon testlerini zorunlu kılmaktadır. Bu regülasyonlara uyulmaması sonucunda ortaya çıkabilecek bir saldırının çok ciddi boyutta yaptırımları bulunmaktadır. Penetrasyon testleri sırasında işletmenin regülasyonlara uyumlulukları gözetilir. Çıkan raporlarda regülasyonlara uyumlu hale gelmesi için alınması gereken tedbirler ayrıntılı biçimde raporlanır.

İşletmenizin imajını ve müşteri sadakatini koruyun.

Belki de penetrasyon testi yaptırmak için en önemli neden olası bir saldırı sonrasında şirketinizin imajını düşürmemek ve müşterilerinizi kaybetmemek olmalıdır. Yapılan saldırıların en büyük hedefi de aslında sizin için çok değerli olan sizi siz yapan müşteri bilgilerini elde etmektir. Bunun için rutin aralıklarla mutlaka penetrasyon testi yaptırılmalı, açıklarınızı saldırganlardan önce belirleyip gerekli önlemleri almanız gerekmektedir.

Sonuç olarak yapılan penetrasyon testi aslında işletmenizin sağlık kontrolüdür. İşletme olarak sağlığınıza ne kadar dikkat ederseniz ve olası riskler için ne kadar önce tedbir alırsanız o kadar uzun yaşarsınız. Sibertis olarak işletmenize ve sizlere sağlıklı ve güvenli günler dileriz.

Sibertis olarak tümü sertifikalı ve alanlarında uzman teknik kadrolarımız ile penetrasyon testlerini gerçekleştirebiliriz. Kapsam hakkında daha detaylı bilgi almak isterseniz aşağıdaki linkte bulunan formu doldurabilirsiniz.

Sibertis Ltd.