Security CheckUp (Sızma Testleri)

Security CheckUp (Sızma Testleri)

Penetrasyon Testlerinden Çok Daha Fazlası İçin; Lostar Security CheckUp

Bilgi teknolojileri sistemleriniz İnternet ve iç ağınız üzerinden gelebilecek saldırılara karşı ne kadar dirençli? Bilgi teknolojileri sistemlerinizin yoğun bir saldırı altında kalması halinde ne yaparsınız? Hangi süreçleriniz, nasıl ve ne kadar bilgi kaybetmenize sebep olabilir?

Sızma (Penetrasyon) testi; firmaların bilgi teknolojileri ağ altyapıları olan; donanım, yazılım ve uygulamalarına bir saldırganın (hacker) sahip olabileceği bakış açısıyla sızılmasının simüle edilmesi ile tespit edilen güvenlik açıklarının raporlanmasıdır.

Sızma Testleri siber güvenlik hizmet portföyümüz, şirketlerin farkında olmadıkları siber güvenlik açıklarının tespitini ve iyileştirilmesini amaçlamaktadır.

Lostar Siber Güvenlik uzmanları, saldırganların sahip olabilecekleri bakış açısıyla sistemlerinizi denetler ve saldırı durumunda sistemlerinizin güvenilirliğini, siber güvenlik risklerini ve erişilebilirliğini ortaya koyar.

Bu tip saldırılarda birden farklı değişken ve yöntem söz konusu olabildiği için, siber güvenlik denetimlerinin uzmanlıkla gerçekleştirilmesi oldukça önemlidir. Denetim raporlarının sonuçları ışığında, sistemleriniz için alınması gereken önlemleri uygulayarak saldırılara karşı daha dirençli bilişim sistemlerine sahip olabilirsiniz.

Sızma Testi Yaklaşımımız

Security Checkup Sızma testi mantığından neden farklı?

• Şirketlere sadece sızma testi raporu göndermiyor, yönetici ve BT uzmanlarına sızma testi raporunun sunumunu da gerçekleştirerek güvenlik açıkları üzerinde tartışıyoruz.

• Raporlarımızda, BT uzmanları ve yöneticilerin önem verdiği unsurlara yer veriyoruz.

• Önerilen çözümlerin anlatımını çok açık ve anlaşılır kılıyor, ayrıca referans olarak sorunu adım adım çözüme götüren rehberler sunuyoruz.

• Rapor tesliminin 30 gün sonrasında sistem açıklarının tekrar kontrol edildiği ‘doğrulama testini’ İnternet Security CheckUp hizmetimizle birlikte ücretsiz sağlıyoruz.

Çalışma yöntemimiz denetim içeriğinin belirlenmesi, denetim yöntemlerinin belirlenmesi, rapor ve sunum desteğidir.

Security CheckUp Ailesi

Kurumsal web sitenizin saldırılara karşı dirençli olup olmadığını inceleyerek İnternet üzerinden gelebilecek saldırgan bakış açısıyla web site ve uygulamalarınızı denetleyerek raporladığımız hizmetimizdir.

Yerel ağınızın ne kadar güvende olduğunu incelediğimiz, İntranet üzerinden içeriden kötü niyetli birinin bakış açısı ve yöntemleri ile yerel ağınızı denetleyerek açıklarınızı raporladığımız hizmetimizdir.

Web sitenizin, sunucularınızın ve hizmetlerinizin ‘engelleme saldırıları’na karşı ne kadar dirençli olduğunu incelediğimiz, İnternet üzerinden bir saldırgan bakış açısıyla size özel hizmet engelleme saldırıları ile kurumsal direncinizi ölçerek raporladığımız hizmetimizdir.

Kurumsal uygulamalarınızın ne kadar güvenli olduğunu inceleyerek; ak ve kara kutu denetleme (whitebox or blackbox testing) yöntemleri ile uygulamalarınızı bir bütün olarak ele aldığımız ve siber güvenlik risklerinizi çözüm önerilerimizle birlikte raporladığımız hizmetimizdir.

İş süreçlerinizden kaynaklanabilecek risklerin farkında olup olmadığınızı incelediğimiz; iş ve teknoloji birimleriniz ile görüşmeler gerçekleştirdiğimiz, iş süreçlerinizden kaynaklanabilecek güvenlik risklerinizi ortaya çıkardığımız hizmetimizdir.

Kurumunuzda süreçleri daha kolay yürütebilmek için yazılımlar/sistemler kullanmaktasınız. Peki bu yazılımlar ne kadar güvenli ? Ya bu yazılımları kullanarak saldırganlara kurumsal hassas verilerinize erişim yolu açıyorsanız ? Ya daha önce maruz kaldığınız bir saldırıdan dolayı hala sisteminize erişim sağlanabiliyorsa ? Ya verileriniz haberiniz olmayan yollardan kurum dışına çıkarılıyorsa ? sorularını sorarak gerekli denetimleri gerçekleştirdiğimiz hizmetimizin adıdır.

Öngörülen çalışmalar ile kapsam dahilindeki kablosuz ağların güvenliğinin sızma testleri ile denenmesi ve sonuçların ortaya konulduğu hizmetimizin adıdır.

BDDK tarafından yayımlanan 24.07.2012 tarih, B.02.1.BDK.0.77.00.00/010.06.02-1 sayılı “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” (Tebliğ) ile banka bilgi sistemlerinin maruz kalabileceği risklerin ve güvenlik açıklarının yönetimini de kapsayacak şekilde, bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esaslar düzenlenmiştir.

Tebliğ’in “Bilgi Sistemlerine İlişkin Risk Yönetimi” başlıklı ikinci kısım birinci bölümünün “Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi” başlıklı 7. maddesinin üçüncü fıkrası (ç) bendinde ifade edilen “Bilgi sistemlerinin güvenilirliğinin ve tutarlılığının düzenli olarak incelenmesini sağlayacak süreçler tesis edilir. Bu çerçevede güvenlik ile ilgili hükümlerin gereklerinin yerine getirilmesi hususunda herhangi bir icra görevi bulunmayan bağımsız ekiplere düzenli aralıklarla sızma testleri yaptırılır. Güvenlik alanındaki güncel gelişmeler ve yeni açıklar takip edilir, gerekli yazılım güncellemeleri yapılır, gerekli yamalar uygulanır.” hükmü ile sızma testleri bankacılık sektörü için zorunlu hale getirilmiştir.

Bilgi sistemlerine yönelik olarak elektronik ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı Bankacılık Düzenleme ve Denetleme Kurulu Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile zorunlu kılınan ve düzenli aralıklarla yapılması istenilen sızma testinin sıklığının yılda en az bir defa yapılması şeklinde belirlenmesine karar verilmiştir.

BDDK Sızma Testi, en az aşağıdaki başlıkları içermektedir:
• İletişim Altyapısı ve Aktif Cihazlar
• DNS Servisleri
• Etki Alanı ve Kullanıcı Bilgisayarları
• E-posta Servisleri
• Veritabanı Sistemleri
• Web Uygulamaları
• Mobil Uygulamalar
• Kablosuz Ağ Sistemleri
• ATM Sistemleri
• Dağıtık Servis Dışı Bırakma Testleri
• Kod Analizi
• Sosyal Mühendislik
• İç Penetrasyon Testi (Intranet Security Checkup)

Çalışma zamanları önceden bildirilmeyecektir. Yapılacak çalışma için kesin bir takvim verilmeyecektir. Ancak testlere dair anlaşma ve iş emrinin imzalanması, iletilmesinin ardından resmi hesap açma işlemleri yapılacaktır. Hesap açılış işlemlerinin tamamlanmasının ardından 30 gün içinde çalışma tamamlanacak ve BDDK Sızma Testleri veya Security Checkup raporu hazırlanacaktır.
Sızma testleri, banka içerisinden bilgi edinimi kısıtlı bir saldırganın uygulayacağı yöntemler kullanılarak kara kutu yöntemi (black box testing) ile gerçekleştirilecektir.
Sızma testlerinin sağlıklı bir şekilde gerçekleştirilebilmesi ve gerçek hayata uygun olması için, yukarıda tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testleri gerçekleştirilir.
Temel sızma testleri, birçok saldırganın sızmanın ilk adımı olarak gerçekleştirdiği keşif ve zayıflık belirleme adımlarını içerir.
Temel sızma testleri aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar, tüm bilgi sistemi varlıklarına uygulanır.
Detaylı sızma testleri, önceki adımlarda elde edilen bilgilerin birleştirilmesi, yaratıcı yöntemlerle yeni saldırı vektörlerinin oluşturulması ile sistemlere sızmanın yapıldığı tüm işlemleri içerir.
Kurumlara özel açıklar ile kuruma özel bazı kombinasyonlar ve ayarlardan kaynaklanabilecek güvenlik zafiyetleri tespit edilir.

Çalışanlarının bilgi güvenliği farkındalıklarının sınanması amacıyla asgari olarak aşağıdaki sosyal mühendislik testleri gerçekleştirilir.

Sosyal ağlar, arama motorları ve web siteleri kullanılarak çalışanlar hakkında bilgi elde edilmeye çalışılır.
Telefon görüşmeleri ile hassas bilgilere ulaşılmaya çalışılır.
Çalışanların ilgisini çekebilecek ve kurum içine sızmaya imkan tanıyacak nitelikte özenle hazırlanmış, içeriden veya dışarıdan gönderilecek spear-phishing e-postaları ile kullanıcı bilgisayarlarına sızma denemesi (activex, java, pdf, swf, vb açıklıklarını kullanarak) gerçekleştirilir.
Sistemlere sızabilmek için hazırlanan özel materyallerin kullanıcılar tarafından çalıştırılmasına yönelik ortamlar hazırlanır.

SCADA (Supervisory Control and Data Acquisition), endüstriyel cihazlardan veri toplayan, raporlayan ve bu cihazlara komut ileten Veri Tabanlı Kontrol ve Gözetleme Sistemi’dir.

Gerek EPDK tebliği gerekse kurumların Bilgi Güvenliği Yönetim Sistemleri gereğince SCADA sistemlerinin denetlenmesi, güvenlik açıklarının belirlenerek raporlanması süreçlerinden oluşur. Bu hizmetin çıktıları, daha çok EPDK güvenlik isterlerine uyum amacıyla tercih edilmekte olsa da, iş sürekliliği ve siber-güvenlik risklerinin yönetilmesine destek amaçlı da çok önemli bilgiler içermektedir.

Tüm dünyayı etkileyen son gelişmeler sebebiyle bir çok kurum evden çalışan büyük bir iş gücünü uzaktan desteklemek ve güvenliğini sağlamak zorunda kaldı. Bu hızlı geçiş dönemi ile siber güvenlik riskleri kurumlar için artan tehditler haline geldi. Artarak büyüyen söz konusu risklerin tespit edilerek kurumların zarar görmeden açıklıkların giderilmesini hedefliyoruz.

 

Kurum çalışanlarına ait internete sızmış bir parola var mı? sorusuna cevap bulabilmek amacı ile geliştirilen Parola Tehdit Analizi, düzenli olarak internetteki farklı kaynakları kontrol ederek kuruma ait e-posta hesapları için sızdırılmış parola bilgisini kontrol eder.