S.S.S

Siber güvenlik önemlidir çünkü hassas verilerimizi, kişisel olarak tanımlanabilir bilgileri (PII) , korunan sağlık bilgilerini (PHI), kişisel bilgileri, fikri mülkiyetleri, verileri ve hükümete ait ve endüstri bilgi sistemlerini suçlular tarafından yapılan hırsızlık ve hasarlardan korumakla ilgili her şeyi kapsar.

Son yıllarda isim markalı şirketlere yönelik hacklemeler ve ihlaller yaşandı. Para cezaları ile ödenen verilerin ve cezaların kurtarılması için milyonlarca dolarlık zarara neden oluyor.

Bir şirket veya birey bir siber saldırının kurbanı olduğunda, bunun nedeni genellikle bir bilgisayar korsanının kolayca önlenebilecek bir güvenlik açığını ortaya çıkarabilmesidir.

Örneğin, kolay kırılan parolalar, bir veri ihlalinin en önemli nedenlerinden biridir. Kaba kuvvet saldırıları, hacker kitabındaki en eski numaralardan biri olsa da, yine de yüksek bir geri dönüş oranı sağlarlar.

Sızma Testi / Penetrasyon Testi, şirketinizin bilişim sisteminin hacker saldırılarına karşı ne kadar korunduğunu kontrol etmeyi sağlayan testlerdir. Sızma testi / Penetrasyon testi şirketinizin bilişim faaliyetlerini sabote etmek amacıyla kötü niyetli kişiler tarafından yapılabilecek olası saldırıları önlemeye yarayan bir ön testtir. Bu test ile iç ve dış ağ sistemleri, veri tabanları, web ve mobil uygulamaları dahil tüm sistemin güçlü ve zayıf noktaları belirlenerek olası saldırılar gerçekleşmeden önüne geçilmeye çalışılır.

– Sızma testi / Penetrasyon testi için bir hedef tanımlama
– Davetsiz misafir modeli seçme
– Test Yöntemi Seçme

Sızma testi yapılırken çok farklı işletim sistemi dağıtımları ve araçlar kullanılabilir bunlardan bazıları aşağıda listelenmiştir:

• dnsenum
• dnsmap
• dnsrecon
• dnstracer
• dnswalk
• FindDomains
• HostMap
• Urlcrazy
• theHarvester
• Nmap
• OpenVAS
• Wireshark
• tcpdump
• Metasploit Çerçevesi
• Kali linux
• THC Hydra
• Cain ve Abel
• Zed Uygulama Proxy’si
• Intercepter NG ….vb.

• Keşfedilen güvenlik açıklarından yararlanılmasının nelere yol açabileceğini açıklayan kılavuz özeti
• Ortak Güvenlik Açığı Puanlama Sistemi ( CVSS ) ile belirlenen güvenlik açıklarının listesi
• Güvenliği ihlal edilmiş IP ve hesapların listesi, güvenlik açıklarından nasıl yararlanılacağına ilişkin teknik açıklama
• Güvenlik açıklarını ortadan kaldırmak için öneriler – gerekli yazılım ve donanım araçlarının ve kurumsal önlemlerin listesi

Her şeyden önce, sızma testi yapan çalışanlar alanlarında yetkin kişiler olmalıdır. Bu, hem sızma testi yaptıracak kuruluşlar hem de sistem entegratörlerinin çalışanları için geçerlidir.

Kuruluşlar, gerekli araçlara ve uzmanlığa sahiplerse kendi başlarına sızma testi yapabilirler. Ama Yönetmelikler, sızma testi yapmak için harici bir yüklenicinin zorunlu katılımını önermektedir.

Türk ve yabancı standartların bazı yöntemleri kullanılır:

• Bankacılık Düzenleme Ve Denetleme Kurumu
• NIST SP800-115
• PCI Veri Güvenliği Standardı (PCI DSS) 3.0
• PTES (Penetration Testing Execution Standard) Teknik Yönergesi

Müşteri tarafından test edilen sistem hakkında sağlanan bilgilere bağlı olarak “beyaz”, “gri” veya “siyah” kutu yöntemi kullanılarak sızma / penetrasyon testi yapılabilir. Şirketimiz genellikle test edilen sistemlerin eksik bilgisi olduğu durumlarda gri kutu sızma testi gerçekleştirir.

Bilgi teknolojisi alanı çok dinamiktir sürekli yazılım ve donanımlar güncelleniyor, uzaktan servisler bağlanıyor, yeni çalışanlar geliyor, şirketin yapısı değişiyor. Sızma testi sonuçları zamanla geçerliliğini yitirecek bu yüzden planlama yapılarak tekrarlanmalıdır.

BT altyapısında Güvenlik seviyesini belirleyen birçok ayarlamalar mevcuttur. Siz ne kadar da tüm güvenlik kurallarını yerine getirdiğinizi düşünseniz dahi saldırganların sisteminize zarar vermek için kullanacakları yöntemlerin sonu yoktur.

Gözünüzden kaçabilecek ya da hackerların (yetkisiz ve kötü niyetli kişilerin) yeni tekniklerine karşı ileride daha büyük sorunların ortaya çıkmasına meydan vermemek için sisteminizi Siber Yazılım uzmanlarına test ettirmekte fayda vardır.

Bu tekniklerin her ikisi de yazılım ürününü güvenli hale getirmek için aynı amaca sahiptir, ancak farklı iş akışlarına sahiptirler.

Sızma testi, manuel olarak veya otomasyon araçları kullanılarak yapılan gerçek zamanlı doğrulamalardır; sistem ve ilgili bileşeni, güvenlik açıklarını belirlemek için simüle edilmiş kötü niyetli saldırılara maruz bırakılır.

PCI DSS hassas kredi kartı bilgilerini işleyen, ileten ve saklayan sistemlerinizin güvenli olmasını sağlar. Bu sisteme sahip işyerlerine müşterilerin güvenebileceği anlamı gelmektedir.

ISO 27001:2013, bilgi güvenliği yönetim sistemleri (BGYS) için gizlilik, bütünlük ve bilgilerin mevcudiyetinin yanı sıra yasal uyumluluk sağlamak için bir çerçeve sağlayan uluslararası bir standarttır. ISO 27001 sertifikası, çalışan ve müşteri bilgileri, marka imajı ve diğer özel bilgiler gibi en hayati varlıklarınızı korumak için gereklidir. ISO standardı, BGYS’nizi başlatmak, uygulamak, işletmek ve bakımını yapmak için sürece dayalı bir yaklaşım içerir.

Kırmızı ekipler, sistemlere saldırmak ve savunmaları kırmak konusunda uzman olan saldırgan güvenlik uzmanlarıdır. Kırmızı ekip, siber güvenlik kontrollerinin üstesinden gelmek için rakip olarak hareket eden güvenlik uzmanlarından oluşur . Kırmızı takımlar genellikle sistem güvenliğini objektif bir şekilde değerlendiren bağımsız etik hackerlardan oluşur.

SOC, tek bir pencerede bir BT altyapısının tüm güvenlik perspektifini gören ve yönetimini sağlamaktan başka bir şey değildir. Tehditleri etkin bir şekilde belirlemek ve böylece ortadan kaldırmak için gereken süreyi azaltmak için gerekli tüm bilgilere sahip olacaktır. Bu basitçe merkez noktasıdır, güvenlikle ilgili tüm bilgilerin çekirdeğidir. SOC, sürekli algılama, tehditler hakkında eyleme geçirilebilir istihbarat toplama, güvenlik açıklarını anlama ve hatta daha fazla rapor oluşturma yeteneği sağlar.

Sistem ve ağlardaki mevcut tehdit ve zaafiyetlerin tespiti,
Gerçekleşen olayların takibi,
Çalışanların ve sistem yöneticilerin kayıtlarının tutulması ve belli korelasyonlarda uyarıların verilmesi
Oturum (şifre/kullanıcı)takibi,
Yönetmelik (KVKK, 5651 yönetmelikleri) ve Standartlara (ISO27001, SoX, PCI, Nerc) göre raporlama,
Zafiyet tarama,

Korelasyon SIEM’in işlevsel yeteneklerinin ayrılmaz bir parçasıdır. Dijital ortamınızdaki bilgiler bir SIEM platformuna beslenirken, bu platform olası sorunları tanımlamak için korelasyon kullanır. Bunu, etkinlik dizilerini, SIEM satıcısı tarafından ayarlanmış veya sizin ve ekibiniz tarafından oluşturulan özel ayarlarla önceden belirlenmiş kurallarla karşılaştırarak yapar.

Etkili bir bilgi güvenliği sistemi oluşturmanın mevcut sistemlerin güvenlik açığı analiziyle başladığını biliyoruz. Secromix, çeşitli düzeylerdeki işletmelerde bilgi güvenliği sistemleri oluşturma konusunda uzman kadrosu (CEH, LPT sertifikalı) ile geniş deneyime sahiptir.  Mevcut sistemin etkinliğini değerlendirmek için sızma testi veya diğer adıyla penetrasyon testi (pentest) kullanıyoruz.

Sızma testinin kuruluşunuzu siber tehditlerden nasıl koruyabileceği hakkında daha fazla bilgi edinmek için iletişim formunu kullanarak bize yazın. Uzmanlarımız size gerekli tavsiyelerde bulunacaktır.