GÜVENLİK TESTİ

by admin

Kurumların sahip olduğu karmaşık Bilgi Teknolojileri altyapılarının düzenli olarak denetlenmesi ve saldırı simülasyonları ile güncel tehditlere karşı ne kadar hazır olduğunun belirlenmesi, ihtiyaç duyulan başlıca hizmetlerden biridir.

Tekno İmage deneyimli ekibi ile bu alanda ihtiyaç duyulan hizmetlerin tümünü izlediği metodoloji doğrultusunda kurumlara sunmaktadır. Çalışmaların sonunda ortay çıkan raporlar, tespit edilen bulgularını ve iyileştirme önerilerini içerir. Bu öneriler doğrultusunda yapılan değişikliklerden sonra yapılan doğrulama testleri ile alınan önlemlerin etkinliği de ölçülmektedir.

Tekno İmage, Türk Standartları Enstitüsü tarafından 2015 yılında ilk defa uygulamaya konulan Sızma Testi Sertifikasyonunu “A Sınıfı” olarak alan ilk kurumlardan biri olarak güvenlik denetimleri konusundaki uzmanlığını bir kez daha kanıtlamıştır. Sertifikalarımız için tıklayın.

 Sızma Testleri

  • İnternet Üzerinden Gerçekleştirilen Sızma Testleri: İnternet üzerinden erişilebilir kurum kaynaklarına (dns, ftp, e-posta, web, güvenlik duvarı vb.) isteğe bağlı olarak yetkili veya yetkisiz kullanıcı haklarıyla değişik araçlar ve yöntemler kullanılarak gerçekleştirilen, bu sayede bilinen muhtemel güvenlik açıklarını saldırganlardan önce keşfetmeyi amaçlayan denetim hizmetidir.
  • Yerel Ağ İçinden Gerçekleştirilen Sızma Testleri: Yerel ağ içinden gerçekleştirilen güvenlik testleri, incelenmesi istenen sunucu ve sistemlerin, kurum ağından erişilerek denetlenmesi çalışmalarını kapsamaktadır. Bu denetleme çalışmaları; bilinen açıklara karşı güvenlik taraması, uygulama tipine göre uygulamaya yönelik güvenlik taramaları ve sistem yapılandırma kontrollerini kapsamaktadır.
  • Web Uygulama Sızma Testleri: Web uygulamaları diğer ağ uygulamalarına kıyasla karmaşık yapıları, kullanılabilecek uygulamaların çeşitliliği ve değişkenliği sebebiyle daha gelişmiş yöntemler kullanılarak değerlendirilmelidirler. Web uygulaması güvenlik testlerinde temel amaç, internet/intranet üzerindeki uygulamaların değişik kullanıcı hakları ile OWASP tarafından belirlenen standartlara göre uygulama problemleri için kontrol edilmesi ve zafiyetlerin ortaya çıkarılmasıdır.
  • Breadth-First Güvenlik Testleri:Söz konusu güvenlik testlerinde saldırı hedefi olarak belirli bir sistem, sunucu veya uygulama yerine direkt olarak kurumun kendisi seçilmektedir. Bu sayede belirli bir “kurumu hacklemeyi” amaç edinmiş bir saldırganın gerçekleştirebileceği aktiviteler simüle edilecektir.

 

  • Mobil Uygulama Güvenlik Testleri: Mobil cihazların kullanımındaki hızlı artış, bu iletişim araçlarına yönelik uygulamaların sayısında da artışa neden olmaktadır. Değişik teknolojiler kullanılarak geliştirilebilecek bu tarz uygulamalar da aynı standart web uygulamaları gibi zafiyetler içerebilirler. Bu test kapsamında Iphone ve Android tabanlı mobil cihazlar için geliştirilen uygulamaların ve sistemlerin kontrol edilmesi sağlanmaktadır.
  • Veri Tabanı Sistemlerine Yönelik Güvenlik Testleri: Kurum bünyesinde kullanılabilecek ORACLE, MSSQL, MySQL, IBMDB2, POSTGRESQL veri tabanı sistemlerinin yetkili kullanıcı gözüyle kontrol edilmesi ve güvenlik açısından sorun çıkarabilecek unsurların belirlenmesi işlemleridir.

 

 Yük ve Stres Testleri

  • Web Uygulama Yük Testleri: Web tabanlı uygulamalara yönelik yük testleri, uygulamaların değişik senaryolar ve kullanıcı yükleri altında nasıl davrandığını görmek ve mevcut alt yapının kaldırabileceği maksimum ve optimum performans değerlerini ortaya çıkartarak, performans artırıcı önlemler alınması konusunda katkı sağlama ve uygulamanın en kırılgan noktalarını belirleme amaçlı gerçekleştirilen çalışmalardır.
  • DOS/DDoS Testleri: DOS/DDoS testleri kurum sistemlerinin servis dışı bırakmaya yönelik değişik saldırlar altında nasıl davrandığını görmek ve mevcut tedbirlerin etkinliğini ölçerek muhtemel yapılandırma hatalarını ortaya çıkartmak için gerçekleştirilen testlerdir. DDoS testlerinde internet üzerinden 1000 farklı IP adresi kullanılarak yollanan HTTP istekleriyle botnet üzerinden gerçekleştirilen DDoS saldırıları da simüle edilmektedir.

 Denetim Hizmetleri

  • Genel Güvenlik Durumu Analizi (Gap Analysis): Tekno İmage güvenlik uzmanlarının, kurum yapısı, süreçleri, olası riskler, güvenlik altyapısı, ağ ve güvenlik topolojisi, kullanılan teknolojiler, uygulamalar, politikalar ve ilgili diğer konular üzerinde görüşmeler yaparak yürüttüğü genel analiz hizmetidir.
  • Ağ Tabanlı Anormallik Tespiti: Kurum ağı veya iletişimi sağlayan sistemler üzerinde kaynağı belirlenemeyen performans veya güvenlik tabanlı sorunların ortaya çıkarılması için verilecek destek hizmetidir.
  • Kablosuz Ağ Güvenlik Kontrolleri: Kurum ağı içinde kullanılabilecek kablosuz ağ sistemine ve bu sistemi oluşturan ekipmanlara yönelik gerçekleştirilecek güvenlik kontrollerini kapsamaktadır.
  • Windows ve Unix Tabanlı İşletim Sistemlerine Yönelik Yapılandırma Denetim Hizmetleri: Windows ve Unix tabanlı işletim sistemlerinin, sistemlere erişim hakkı bulunan kullanıcılar ve mevcut kullanıcı ayarlarının güvenlik açısından kontrol edilmesiyle gerçekleştirilen denetim hizmetidir.
  • Ağ Ekipmanlarına Yönelik Yapılandırma Denetim Hizmetleri: Kurum sistemleri içinde bulunan aktif/ pasif ağ ekipmanlarına ait yapılandırma ayarlarının güvenlik açısından kontrol edilmesini içeren hizmettir.
  • Firewall Kural Analizi: İnternet/intranet güvenliğinin sağlanması için kullanılan en temel araç firewall yazılımları veya donanımlarıdır. Günümüzde firmalar firewall sistemleri için büyük bütçeler ayırmakta ve bu yatırımlarını kritik sistemlerini korumak için kullanmaktadırlar. Kurallar oluşturulurken yapılabilecek hatalar veya eksiklikler, korunması istenen sistemlere doğru istenmeyen bağlantıların yapılmasına yol açabilir. Firewall kural analizi ile kurumun güvenlik duvarı sistemleri üzerindeki kuralların oluşturabileceği risklerin ortaya çıkartılması hedeflenmektedir.

 

  • WAF/IPS Yapılandırma Testleri: WAF ve IPS sistemlerinin ne kadar etkin çalıştığını görmek amaçlı yapılan kontrollerdir. Bunun için Tekno İmage uzmanları tarafından hazırlanan araçlarla üretilen değişik saldırılardan hangilerinin bu sistemler tarafından engellendiği belirlenerek bir başarı oranı hesaplanmaktadır. Elde edilen veriler ışığında bulunan sorunlara yönelik çözüm üretilerek, mevcut sistemin daha etkin çalışmasına yardımcı olunmaktadır.
  • Ağ Tabanlı Zararlı Yazılım Analizi: Kurum ağı içinde belirlenen noktalara yerleştirilecek özel yazılımlar ile akan trafik içinde bulunabilecek ve zararlı yazılım içeren dosyaların tespiti için gerçekleştirilen çalışmalardır. Bu çalışma sayesinde ağ trafiği içinden akabilecek botnet haberleşme trafiği, tünelleme girişimleri, zararlı yazılımlar gibi istenmeyen trafiğin ortaya çıkartılması hedeflenmektedir.

 

 Sosyal Mühendislik Testleri

Sosyal mühendislik testleri, kurum çalışanı ve kurum dahilinde kullanılan süreçlerden kaynaklanan zafiyetleri bulmaya yönelik gerçekleştirilen denetim çalışmasıdır. En eksiksiz kurulan güvenlik sistemi bile kullanıcı hataları karşısında yetersiz kalabilmektedir. Sosyal mühendislik testleri, kurum çalışanlarının güvenlik bilinç seviyesinin, insani zafiyetleri ortaya çıkaracak şekilde ölçüldüğü testlerdir.

 Kaynak Kod Analiz Hizmetleri

Kurum tarafından belirtilen, ASP.NET, JAVA, C#, C++ ve PHP dilleriyle geliştirilmiş uygulamaların statik kod analiz yöntemleri kullanılarak güvenli yazılım geliştirme konusunda uzman personel tarafından incelenmesi ve problemlerin kod içinden belirlenmesi yaklaşımını kullanan denetim çalışmasıdır.

 Zafiyet Yönetim Sistemi Kurulumu ve İşletimi

Kurum ihtiyaçları doğrultusunda zafiyet yönetiminin etkin bir şekilde sağlanması için, uygun aracın seçimi, kurulumu ve yapılandırılması ile gerekli olduğu durumlarda dış kaynak kullanımı ile işletilmesini içeren hizmettir.