SOC Süreci SOC süreci, her SOC ekibinin sahip olması gereken basitçe tekrarlanabilir bir prosedürdür. İşin çoğu bizim araçlarımızla yapılsa da, her şeyin düzgün çalıştığından emin olmak için yine de biraz manuel müdahaleye ihtiyacımız var. İşlem yada prosedür, internetten indirebileceğimiz statik kontrol listesi değildir. ama birkaçını saymamız gerekirse; İzleme prosedürü. Olay Sınıflandırma ve Triyaj süreci Bildirim […]
Bir sitenin sızma testi, birleşik saldırı yöntemlerine karşı direnç testi yapılarak gerçekleştirilir. OWASP, WASC, OSSTMM, PTES metodolojilerine ve ayrıca PCI DSS standardının en iyi uygulamalarına ve önerilerine dayanır. Tüm işler, uzman elemanların kapsamlı pratik deneyimleriyle desteklenir. Güvenlik açığı vakalarının % 100’ünde OWASP İLK 10 listesinden güvenlik açıklarını tespit ediliyor. Vakaların % 80’inde tespit edilen güvenlik açıkları
Web uygulaması Güvenlik Denetimi Read More »
Sızma testi / Penetrasyon testi, potansiyel bir saldırganın bakış açısından yürütülür ve sistem açıklarının etkin bir şekilde kullanılmasını içerebilir. Testin amacı, gizliliğin, bütünlüğün ve bilginin kullanılabilirliğinin ihlaline yol açabilecek, yanlış sistem işlemine neden olabilecek veya hizmet reddine yol açabilecek olası güvenlik açıklarını ve eksiklikleri tespit etmenin yanı sıra olası mali kayıpları ve ekonomik riskleri tahmin etmektir. Test,
Sızma Testi için kullanılan dağıtımları Read More »
Popüler sızma testi / penetrasyon testi için kullanılan dağıtımlar makalemizin devamı: BackBox BackBox, Ubuntu tabanlı hafif bir dağıtımdır. Kali ile doğrudan kıyaslandığında birçok noktada kaybetti. Kutudan çıkar çıkmaz pek çok farklı araç, yardımcı program ve çerçeveye sahip değildir. Çekirdek optimizasyonu veya başka ince ayarlar yok. Backbox Linux, işlevsellik ve günlük kullanılabilirlik arasında bir denge arayanlar için Kali Linux’a
Sızma Testi için kullanılan dağıtımlar (Devamı) Read More »
Sızma testi: Verimlilik ve popülerlik Bilgi güvenliği risklerini belirlemede sızma testi giderek daha popüler hale geliyor. Başarılı web site saldırıları ve kritik veri sızıntı haberleri, iş adamlarını kritik sistemlerinden ödün verme olasılığını değerlendirmeye teşvik ediyor. Bir sızma testi ne zaman gerçekten yararlı olabilir ve hangi durumlarda para kaybı olur? Sızma Testi nedir? Sızma testi güvenlik açıklarını göstermek ve
Sızma testini ne zaman yapmak daha etkilidir? Read More »
Sızma testi için ne zaman para harcanmamalı? Sızma testi sonuçları farklı amaçlar için kullanılabilir. Özellikle, bilgi güvenliği önlemlerinin maliyetlerini gerekçelendirmek için bir yöntem olarak . Bununla birlikte, bu hizmetin temel amacı, mevcut koruma mekanizmalarının etkinliğini değerlendirmek ve hedeflenen bir hacker saldırısının sonuçlarını göstermektir. Verimlilik, elde edilen sonuçların yararlılığının harcanan kaynaklara (kısaca fiyat/performans)oranıyla ölçülüyorsa, sızma testi için harcanan paranın boşa
Sızma Testi Maliyetleri Read More »
E-ticaret pazarı milyarlarca dolarlık bir hacme ulaşmıştır. PCI DSS, Ödeme Kartları Sektörü Veri Güvenliği Standardı olarak bilinen, kredi kartlarını kullanan kuruluşlar için gerekli bir bilgi güvenliği standardıdır. PCI Standardı, kart markaları tarafından zorunlu kılınır ancak Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (2006 yılında MasterCard, Visa, American Express vb. gibi firmalar konsorsiyumu) tarafından yönetilir. Standart, kredi kartı sahtekarlıklarını azaltmak ve müşteriye
PCI DSS de neden sızma testi ve Siem gerekli Read More »
Müşteri bilgisi gizli tutularak yapmış olduğumuz bir sızma testi’ni bu yazıda sizlerle paylaşacağım. X sağlayıcısının güvenliğini test etmek üzere bir görev aldık. Sızma testi ‘nin amacı, harici ağdan şirketin yerel ağına ulaşmak ve ardından en azından bir miktar ticari değer sağlayan herhangi bir bilgiye erişim sağlamaktı. İlk veriler kuruluşun web sitesidir (bundan böyle site.com olarak
Gerçek bir Sızma Testi Örneği Read More »
Sızma Testi sonucunda neler oldu? Yapılan sızma testleri sonucunda, şirket ağının çevresinin korunduğunu, sadece hedefli saldırıların tehdit oluşturabileceğini görüldü. Şirket IT alt yapısında birtakım güvenlik açıkları tespit edilmiştir. Örnek olarak, en ciddi olanlardan birini veriyoruz: “En az sıradan bir çalışan seviyesiyle ağa erişim haklarına sahip olan birisi, ağın içinden şirket için neredeyse tüm değerli bilgileri çalabilir”.
Sızma testi sonucu Read More »
Penetration Test (pen testing) Processes include: Gathering Passive information; Port scanning; Network equipment types and its description; Determining the types of operating systems used in network infrastructure; Types of adjacent peripherals in the network infrastructure; Defining special device types and combinations; Gathering the information received and its analysis; Defining “entry points”; Defining attack vectors; Attempt
Penetration Test (pen testing) Processes Read More »
