penetrasyon testi etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
penetrasyon testi etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

05 Şubat 2019

Siber Güvenlik Bülteni - Ocak 2019

Mehmet Şimşek'in Telefonu Hacklendi!

Routers haber ajansı, yayınladığı haber ile dünya kamuoyunda tartışma yarattı.

Routers’in haberine göre Birleşik Arap Emirlikleri için çalışan ve eski Amerikan istihbaratçılarından oluşan “Kuzgun Projesi” Karma ismindeki siber casusluk yazılımını kullanarak Ortadoğu’da yüzlerce siyasi ismin iPhone model telefonlarını hackleyerek erişim sağladı. Grubun dinlediği isimler arasında Katar Emiri, Umman’ın dış işlerinden sorumlu bakan ve eski başbakan yardımcısı Mehmet Şimşek de yer alıyor.

Yapılan açıklamada telefon numaralarının ve e-posta adreslerinin girilmesi ile iPhone’lara erişildi. 2016 ve 2017 yılları arasında telefonlardaki fotoğraf, e-posta mesaj ve konum bilgilerine ulaşıldı.
Karma programı ile telefonlara iMessage’daki bir güvenlik açığı ile sızıldığı düşünülüyor.

Alman Politikasına Siber Saldırı

Cumhurbaşkanı Steinmeier ve Başbakan Angela Merkel'in de aralarında bulunduğu 405 siyasinin kişisel bilgileri ve konuşmaları hacklenerek Twitter üzerinden sızdırıldı. Veri sızıntısı politikacılarla sınırlı değil. Gazeteciler, sanatçılar ve çeşitli YouTube ünlülerinin bilgileri de sızan verilerin arasında yer alıyor.
Sızdırılan belgeler arasında kişisel cep telefonu numaraları, adresler, kimlik bilgileri, konuşma kayıtları, mektuplar, ses kayıtları, kredi kartı bilgileri gibi hassas bilgiler yer alıyor
Saldırıların ne zaman başladığı henüz bilinmese de sızdırılan son belgelerin 2018 Ekim ayına ait olduğu belirtildi. Saldırganların bu bilgileri akıllı telefonlardan elde ettikleri düşünülüyor.

FaceTime'da Kritik Açık



Teknoloji devi Apple, iPhone, iPad, iPod Touch ve Mac bilgisayarlar arasında görüntülü konuşma imkanı tanıyan Facetime servisinde ortaya çıkan bir açık ile gündeme geldi.

Geçtiğimiz aylarda yayınlanan iOS 12.1 sürümünde yer alan bir açık ile FaceTime görüşmelerinde arama yaptığınızda karşı taraf çağrınıza cevap vermese bile ortam dinlemesi yapılabiliyor.

Açık bununla da sınırlı değil, çağrıyı alan kişi güç düğmesi ile çağrıyı reddederse bu durumda çağrıyı alan kişinin kamerası aktif hale geliyor ve karşı tarafta olanları izlemenize olanak sağlıyor.

Apple, bu devasa güvenlik sorunu karşısında grup FaceTime çağrılarını geçici olarak devre dışı bıraktı.

Güvenlik Açığı 141 Havayolu Şirketini Etkiledi

İsrail'li ağ güvenliği araştırmacısı Noam Rotem, aralarında Türk Hava Yolları'nın da bulunduğu 141 uluslararası havayolu firmasının kullandığı, Amadeus şirketi tarafından geliştirilen çevrimiçi uçuş rezervasyon sisteminde güvenlik zafiyeti buldu.
Bilet alma işlemi sonrasında mail adresine  PNR numarası ve yolcuların uçuş durumunu kontrol edebilecekleri bir link gönderilir. Noam Rotem, linkte bulunan bir parametreyi başka birisinin PNR numarası ile değiştirerek başkasına ait tüm uçuş bilgilerini görebileceğini buldu.
Rotem, ek olarak PNR numarası bilinmese bile Brute Force yöntemi ile sistemdeki farklı bir açığı kullanarak PNR numaralarını bulunabileceğini belirtti.
Bulunan zafiyet ile saldırganlar, kurbanın millerini bir başkasına transfer edebilir, uçuş iptali ve değişikliği için kullanılan telefon numarasını ve müşteri e-posta adresini değiştirebiliyor.

Google'a Fransa'dan Dev Ceza

Mayıs 2018'de yürürlüğe giren Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği (GDPR – General Data Protection Regulation) kapsamında, Fransa Ulusal Veri Koruma Komisyonu CNIL, Google’ı 57 Milyon Dolar para cezasına çarptırdı.
CNIL, Google'ın veri onayı bilgisini kullanıcı için kolayca erişilebilir ve açık ve kapsayıcı olarak sunmadığını ve bu sebeple şeffaflık ve bilgi temelli GDPR yaptırımlarını ihlal ettiğini duyurdu.
Komisyon ayrıca Google’ın veri işleme ve saklama süreleri hakkında bilgi sunmadığını, Google tarafından yapılan açıklamaların çok genel ve belirsiz olduğunu belirtti.
Ceza, geçtiğimiz yıl yürürlüğe giren GDPR kapsamında uygulanan en büyük ceza olma özelliğini taşıyor. 

Huawei'den Casusluk İddialarına Cevap Geldi


Siber güvenlik dünyası uzun zamandır Huawei’nin Çin adına casusluk yapıyor iddiasıyla çalkalanıyor. 
ABD yönetimi Huawei’yi casuslukla suçlayarak askeri ve hükümet yetkililerince kullanılmasını ve Amerikan şirketlerine donanım tedarik etmesini yasakladı.
Casusluk suçlamalarıyla ilgili şirket kurucusu Ren Zhengfei basın toplantısı düzenleyerek şirketi hakkında yapılan tüm suçlamaları reddetti. Zhengfei ayrıca Çin’li şirketlerin cihazlar ve ağlar üzerinden veri toplanması için Çin devletine anahtar verdiği iddialarını da yalanladı.
Geçtiğimiz günlerde Çek Cumhuriyeti Siber Güvenlik Birimi, Huawei ve ZTE ürünlerinin ulusal güvenlik açısından tehdit oluşturduğu yönünde açıklama yapmıştı.

773 Milyon Mail Adresi ve Şifresi İnternette

Siber saldırganlar, çeşitli kaynaklar ve kişiler tarafından hacklenen 773 milyon mail adresini ve şifresini Collection #1 adında bir dosya ile Mega bulut servisinde yayınladı.
87 GB boyutundaki klasör içinde 2008’den bu yana yaşanan ihlallerden oluşan 12 bin’den fazla dosya yer alıyor.
Yaşanan olay, 2013 yılında 3 milyar Yahoo hesabının sızdırılmasından sonraki en büyük veri sızıntılarından birisi oldu. 
https://haveibeenpwned.com adresinden e-postanızı girerek ihlalin bir parçası olup olmadığınızı kontrol edebilirsiniz.


7 Milyonluk Data Sızıntısı

California merkezli VOIPo isimli firma bu yılın en büyük veri ihlallerinden birisini yaşadı. Milyonlarca kişinin sms ve arama kayıtlarının depolandığı bir sunucunun yanlış yapılandırılmasından dolayı 7 milyon arama kaydı, 6 milyon yazılı mesaj ve kullanıcı şifreleri açık bir şekilde unutuldu.
Bir güvenlik araştırmacısı açığı şirkete bildirerek kaptmasında yardımcı oldu. 2018 yılında benzer bir olay San Diego merkezli Voxox firmasında yaşanmıştı ve 26 milyon kısa mesaj sızdırılmıştı.

Hindistan'ın En Büyük Bankasına Darbe

Hindistan’ın en büyük bankası olan SBI’ya sızan siber korsanlar, güvenliksiz bir sunucuya erişerek milyonlarca kullanıcının verilerine ulaştı.
Şifresiz veri tabanı, telefon numaraları, banka bakiyeleri, müşterilere giden tüm mesajlar, banka hesap numaraları gibi bir çok veriye ulaşan saldırganlar bazı müşterilerin de hesaplarını boşalttı.
SBI, 740 milyon hesapla dünya genelinde 500 milyondan fazla müşteriye hizmet veriyor.

Oltalama Saldırılarına Dikkat! 

Kimlik avı saldırıları sadece mail yolu ile değil, sosyal medya ile de karşımıza çıkmaya başladı. Son örnekleri ise Twitter üzerinden yapılan saldırılar oldu.
Geçtiğimiz aylarda oltama saldırıları için hazırlanmış internet sitelerinin Twitter üzerinden reklam verdikleri ve Twittter’ın bu sayfaları engellemediği ortaya çıkmıştı. Bu açıktan yararlanan siber saldırganlar finans kurumlarının isimlerini kullanıp, Twitter üzerinden reklam kampanyaları açarak reklamlara inanan binlerce kullanıcıyı mağdur etti.
Bunlardan en yenisi ise, para ödeme sistemi PayPal adına açılan sahte hesaplar oldu. Siber korsanlar linke tıklayan kişileri sahte bir sayfaya yönlendirilerek PayPal ve kredi kartı bilgilerini girmelerini girmelerini istiyor. Saldırganlar, kimlik bilgilerini çalmaktan çok, kredi kartı bilgilerinin peşinde.
Siber saldırganlar 2018 yılında Netflix’i taklit ederek oltamala saldırıları ile insanları dolandırmayı başarmıştı.
Ocak ayı içinde, Amerika ve Avrupa’da görülmeye başlanan ve yine Netflix’i taklit eden saldırılar ortaya çıktı. Siber saldırganlar “Ödeme bilgilerinizde sorun var” ya da “hesabınız askıya alındı” içerikli mailler göndererek kullanıcıların kişisel verilerini çalıyor.

Casus Hava Durumu Uygulaması

Alcatel Pixi 4 ve A3 Max modellerinde, TCL firması tarafından geliştirilen ve ön yüklü olarak gelen hava durumu uygulamasında zararlı kod tespit edildi. Zararlı kod, telefondaki kişisel verileri, coğrafi konumu ve IMEI numaralarını toplayarak Çin'de yer alan bir sunucuya iletiyor.
Zararlı koddan etkilenen ülkelerin başında Brezilya ve Malezya yer alıyor. Nijerya, Güney Afrika, Mısır, Kuveyt ve Tunus da ise uygulama engellendi.
hava durumu uygulaması, Google Play Store'da 10 Milyon'dan fazla kullanıcı tarafından mobil cihazlara indirilmiş durumda.
Oracle 2019'un ilk yama paketini yayınladı. Yayınlanan yama 33'ü kritik seviyede toplam 284 güvenlik açığını kapatıyor.

Yüzlerce güvenlik araştırmacısı kar amacı gütmeyen bir  projeye dahil olarak geçtiğimiz 10 ay içinde kötü amaçlı yazılım dağıtan 100 binin üzerinde internet sitesinin kapatılmasına yardımcı oldu.

Çin'li araştırmacılar iOS 12.1.2 çalıştıran bir iPhone X cihazı Jailbreak ile ele geçirmeyi başardılar.

Wordpress kullanıcıları arasında çok dilli yayın yapılabilmesini sağlayan WPML eklentisi, eski bir çalışanı tarafından hacklendi. Eski çalışan kullanıcılara e-posta gönderek WPML üzerinde herhangi bir çalışma yapılmamış birçok güvenlik açığı olduğunu belirtti.

BTK tarafından açıklanan raporua göre e-imza sertifika sayısı 3 milyon 92 bin 381’e yükseldi.

Yapılan bir araştırmaya göre dünya genelinde 3 milyon güvenlik uzmanına ihtiyaç bulunuyor.  En büyük uzman kıtlığı Asya-Pasifik bölgesi ülkelerinde yaşanıyor.

B İ Z D E N   H A B E R L E R 

Kadın ve Demokrasi Derneği (KADEM) ve TÜBİTAK Marmara Teknokent (MARTEK) işbirliği ile hayata geçirilen İnovasyonda Kadın Projesi kapsamında 4. kez düzenlenen girişimcilik kampında mentörlük görevinde yer aldık. 

31 Aralık 2018

2018 Yıl Sonu Özet Siber Güvenlik Bülteni

2018 Yıl Sonu Özet
 Siber Güvenlik Bülteni

2018 yılında gerçekleşen önemli saldırı ve olayları derlediğimiz özel bültenimiz ile bir seneye daha veda ediyoruz.

ISR Bilgi Güvenliği olarak, 2019 yılında siber güvenlik farkındalığının arttığı, huzurlu ve mutlu bir yıl olmasını temenni ederiz.

Yeni yılınız kutlu olsun.

Veri Sızdırma

2018’deki raporlara baktığımızda data sızıntısı yine önceki yıllara göre artmış durumda ve büyük firmaların birçoğu data sızıntısı ile anıldı. Bunlardan başlıcaları MyFitnessPal, Ticketmaster, British Airways, Quora, Marriott, Atlas Quantum, FIFA, Uber, T-Mobile, Under Armour, Aadhaar, NASA.
Data sızdırılması ile anılan şirketlerden birisi de Facebook. Cambridge Analytica şirketine veri sağlayarak kullanım şartlarını ihlal etmesi, ardından milyonlarca kullanıcısının mesajlarının internete satışa çıkması ile çökme yaşadı. Yılın sonunda gelen son haber ise fotoğraf API’sinde bulunan bir zafiyet ile 6.8 milyon kullanıcının fotoğrafı başka uygulamar aracılığı ile sızdırıldı.
2018 yılında her saniye 44 veri sızıntısı olayı yaşandı.

Kripto Madencilik

Yılın ilk ayında BitCoin’in 20.000 Dolar seviyelerine çıkması siber saldırganlar için büyük bir umut oldu. Kripto para borsaları saldırıya uğradı, kullanıcılar dolandırıldı ve saldırganlar fidye yazılımı saldırılarından kripto madencilik zararlı yazılımlarına dönmeye başlayarak saldırı metodlarını değiştirdiler. Bitcoin borsalarının düşüşe geçmesi ile saldırganlar metodunu geliştirerek içerdeki dosya sayısı ile CPU değerlerine bakarak saldırı yöntemini uygulamaya başladılar.

Siber saldırganlar 2018 yılında router’lara yaptıkları saldırılar ile de gündem oluşturdu. Binlerce router’a kripto madencilik zararlısı enjekte edilerek coin üretildi. MikroTik, Netgear, TP-Link gibi ünlü markalar siber saldırganlara yenik düştü.

Ransomware

2018’in en çok kullanılan kelimelerinden birisi yine APT oldu. Pyeonchang’da kış olimpiyatları başladıktan kısa bir süre sonra alt yapıdaki zafiyetten faydalanan saldırganlar organizatörler tarafından kullanılan ekran monitörlerini kapattı. Saldırganlar, Wi-Fi ve resmi websitesini kapatarak bilet basılmasını engelledi.
Ayrıca bu sene SamSam adlı zararlı yazılımına benzer bir yazılım görüldü. Verileri silen zararlı Shamoon petrol ve gaz şirketlerini vurarak büyük zarar verdi. Eylül ayında görülen bazı saldırılarda ise sağlık sektörünü etkileyerek ameliyatların ertelenmesine sebep oldu.

Meltdown Spectre Olayı

Seneye damga vuran haberlerden birisi de Meltdown Spectre olayı oldu. ARM işlemcilerde çok ciddi güvenlik zafiyetlerinin bulunduğu açıklandı.

Zafiyet, uygulama belleğinden bilgi çekebilmesine olanak sağlıyordu. Bu açıktan tüm Mac ve İOS cihazları etkilendi.

DDoS

Geçtiğimiz senelerden bugüne doğru baktığımızda DDoS saldırılarının daha büyük, daha akıllı ve daha zarar verici olduğunu görebiliyoruz. GitHub saniyede 1.35 terabit’lik veri ile tarihin en büyük saldırılarından birisine uğradı. 2018 yılında DDoS saldırıları bir önceki yıla oranla beş kat arttı.

WPA3 Kablosuz Güvenlik Standardı

İlk kez CES 2018'de duyurulan WPA3 kablosuz güvenlik standardı hizmete girdi. Kablosuz ağ bağlantılarının kronik güvenlik açıklarının bir çoğunun üstesinden gelmeyi vadeden yeni nesil kablosuz güvenlik standardının en önemli özelliği, kullanıcıları Wi-Fi ağındaki veri takibine karşı korumak için bireysel şifreleme getiriyor olması.
2018’de siber saldırılardan etkilenen sektörlerin başında sağlık ve turizm sektörü geldi. Araştırmalar, 2019 yılında tıbbi cihazlarda önlemler alınmazsa ölüm vakalarının gerçekleşeceği yönünde.
Mirai, 2018 yılında bulaştığı her IoT cihazına, güç, bant genişliği ve onarım maliyeti olarak yaklaşık 13.50 Dolar değerinde zarar verdi. 
2019 yılında siber saldırıların  dünya genelinde şirketlere toplam zararı 2 trilyon Dolar’dan fazla olacağı öngörülüyor.
Siber güvenlik sigortası yaptıran KOBİ’lerin sayısı dünya genelinde geçen seneye oranla %32 arttı.
2013'ten beri her gün ihlallerden çalınan 3,809,448 kayıt bulunmaktadır.
Siber saldırıların %43’ü küçük işletmeleri hedefliyor. Şirketlerin %64'ü web tabanlı, %62'si kimlik avı ve sosyal mühendislik saldırılarına maruz kaldı. %59'u kötü niyetli kod ve botnet,% 51'i ise hizmet reddi saldırıları yaşadı.
IT yöneticilerinin korkulu rüyası bu sene de e-mail oldu. Malware saldırılarının %92’si e-mail yoluyla bulaştı. 
IoT cihazlarının henüz %30’u koruma altında.
2018’de siber suçluların verdikleri zarar 1 trilyon Dolar değerinde olduğu belirtildi.
Çok uluslu şirketlerin yalnızca %38’i siber saldırılara karşı hazır olduklarından emin.
İnsan hatası %95’lik oranla hala en büyük güvenlik sorunu kaynağı olarak gösteriliyor.

B İ Z D E N   H A B E R L E R 

Siber güvenlik ve bilgi güvenliği alanındaki 20 yıllık bilgi birikimi ve tecrübelerini birleştirerek, tüm kamu ve özel kuruluşların bilgi güvenliği konusundaki ihtiyaçlarında yurt dışı bağlılığını ortadan kaldırmayı hedefleyerek kurduğumuz şirketimiz 6. yılına başarılar ile ulaştı.

Sahip olduğu bilgi birikimi ve yetenekleri sayesinde geleceği önceden inşaa ederek ortaya koyduğumuz çalışmalarla Türkiye’nin 81 iline ve Dünya’nın 3 kıtasına ulaşarak Türk Mühendisliği’nin ve Türk Malı’nın kalitesini gözler önüne sermenin onur ve mutluluğunu yaşadık.

Savunma Sanayii Başkanlığı öncülüğünde ilgili tüm kamu kurum/kuruluşları, özel sektör ve akademi temsilcilerinin katkılarıyla temelleri atılan ve ülkemizde siber güvenlik ekosisteminin geliştirilmesi amacıyla kurulan Siber Güvenlik Kümelenmesi'ne dahil edildik.

Gerçekleştirdiğimiz fuar ziyaretleri ile sadece ülkemizdeki kuruluşların değil, ülke sınırlarını da aşarak dünyanın farklı noktalarındaki ihtiyaçlara çözüm olduk.
Üniversite ve kamu kurumlarında gerçekleştirdiğimiz ücretsiz farkındalık eğitimleri ile kullanıcıları bilinçlendirdik.

Ürettiğimiz ürün ve gerçekleştirdiğimiz hizmet çalışmaları ile yerli üretici olmanın gururunu yaşadık.

Büyüyen ekibimiz ve genişleyen bayi ağımız ile Türkiye'nin 81 iline ulaştık.

16 Şubat 2017

Siber Saldırganlar 40 Ülkede 140 Şirkete Saldırdı

Finansal işlemlere erişim sağlamaya çalışan ve henüz kim oldukları bilinmeyen bir takım saldırgan, içinde Türkiye’nin de bulunduğu, çoğunluğu ABD, Fransa, Ekvator, Kenya, Birleşik Krallık ve Rusya’dan oluşan 40 ülkeden çeşitli sektörlerde faaliyet gösteren 140’ın üzerinde büyük ölçekli kuruluşun ağlarına saldırıda bulundu.



Saldırganlar, sıkça kullanılan yönetim araçları ve penetrasyon test araçları dışında PowerShell kullanarak blacklist’e düşmeden sabit sürücülere zararlı yazılımı kaydetmeden bellekte gizleniyorlar. Sistemin yeniden başlatılmasına kadar geçen süre içinde, istedikleri tüm bilgileri alarak arkalarında iz bırakmadan kayboluyorlar.






Saldırganların ATM'lerden nasıl para çektikleri, Güvenlik Analisti Zirvesi (Security Analyst Summit) etkinliğinde detaylı olarak anlatılacak.
Bağımsız Devletler Topluluğu’na bağlı birçok bankanın 2016 yılı sonlarında Kaspersky Lab ile yaptığı görüşmede Meterpreter isimli penetrasyon testi yazılımının beklenmedik zamanlarda sunucu belleklerinde göründüğünü bildirdiler. 




Yapılan adli incelemeye göre, Meterpreter kodu indirilerek powershell komutları ile hafızaya enjekte edildi ve denetlenen sunuculara veri aktarımı için Microsoft NETSH network aracı kullanıldı. Günlükleri temizlemek için ise Windows kayıt defteri, PowerShell komutları ile gizlendi. Bu yöntem ile saldırganlar sistem yöneticilerinin şifrelerini toplayarak virüs bulaştırdıkları bilgisayaları uzaktan kontrol etme imkanı sağladılar.

04 Ekim 2014

Penetrasyon - Sızma testi yaptırmalı mıyım?


Şirketimizin Ar-Ge faaliyetlerinin yanı sıra yoğunlaştığımız ve tüm ekip arkadaşlarımız ile birlikte keyifle gerçekleştirdiği projeler arasında güvenlik testleri projeleri (Zafiyet tarama, Uygulama Güvenliği Testleri, Kaynak Kod Analizi, APT v.s) özellikle "Sızma / Penetrasyon Testi" bulunuyor.

Çeşitli kanallar üzerinden bize ulaşan sızma testi müşterilerimizin aklında en çok "Bu testi yaptırmalı mıyım? Bu hizmete gerçekten ihtiyacım var mı?" sorusu var. Bu konudaki farkındalığın günden güne arttığını, BT sorumlusu, yöneticisi, CIO 'ların ve şirket sahiplerinin "zafiyetlerimiz neler?" sorusunu gündeme getirdiğini mutlulukla söyleyebiliriz.

Burada bizi esas mutlu eden, "Herkes bu hizmeti satın almalı" mottosu ile geliştirdiğimiz sızma testi modelimizin her geçen gün daha uzaklara, kurumsal yapıların yanı sıra oluşturduğumuz seçkin kanal yapısı ile ülkemizin en uç noktasındaki KOBİ 'lere ulaşması.

Bizim "Bu testi yaptırmalı mıyım? Bu hizmete ihtiyacım var mı?" sorusuna cevabımız çok net.

- "Gizli ya da değil, digital ortamda bilginiz var mı?"

- "Evet"

- "Gizli ya da değil, eğer bir bilginiz varsa bu bilgilerin güvende olup olmadığını, değiştirilip değiştirilmeyeceğini, kötü niyetli kişilerin bu bilgileri çalıp, sizin aleyhinize kullanıp kullanmayacağını, rakiplerinize satıp satmayacağı faktörlerini test ettirmelisiniz. Üstelik bu bilgiler sizin için çok önemsiz olabilir. Ancak bu işi profesyonel olarak yapan saldırganlar için dayınızın adının ve soyadının bile çok önemli bir bilgi olduğunu unutmayınız."

Teknolojinin, özellikle BT sistemlerinin her gün değil, artık neredeyse her saat geliştiği bir dünyada aynı donanım ihtiyaçları gibi, hizmet ihtiyaçlarının da türü ve modeli değişiyor. Sızma testleri bu değişimin getirdiği artık neredeyse "zorunlu" hizmetlerden biri. Bir çok büyük boyutta firma bu testleri kendi içlerinde oluşturduğu kadrolar ile oluştursa da bunun doğrusu dışarıdan gerçek bir saldırıyı simüle ederek gerçekleştirmek.

Sızma ya da genel kullanım şekli ile "Penetration Test" çeşitli adımlar sonunda gerçekleştirilir.

"Projelendirme - Tekliflendirme - NDA - Test - Raporlama - RCe" şeklinde özetlenebilecek bu süreç sonunda müşterilerimiz gerçek bir saldırı sonunda ne kadar zarar görebileceklerini, hangi bilgilerinin kötü niyetli kişilerin eline geçebileceğini, ağ yapılarının ne kadar güvenliği olduğunu ya da olmadığını öğrenir / önlemlerini alabilmek üzere gerekli teknik ve idari tavsiyelerini alır ve önlemleri uygular.

Sızma testlerini kime yaptırmalıyım...  Merdiven altı testler sorunu...

Sızma testi yaptırmayı düşündüğümüz iş ortağını seçmek bu sürecin en önemli adımıdır. Her sektörde bulunan ve "merdiven altı" şeklinde tabir edilen hizmet türü, (!) sızma testi gibi kritik, büyük gizlilik ve hassasiyet ile içerisinde gerçekleştrilmesi gereken hizmet türü için de geçerli. Bu firmayı seçerken aşağıdaki kriterleri göz önünde bulundurmanızı öneririz.
  1. Firmanın ilgi odağı nedir? 
  2. Geçerli bilgi güvenliği sertifikasyonlarına sahip mi?
  3. Referansları var mı? 
  4. Bir otorite tarafından onaylı bir ya da birden çok bilgi güvenliği projesi var mı?
  5. Gerektiğinde size özel zafiyetleriniz için istismar kodları geliştirebilecekler mi?
İlgi odağı sadece bilgi güvenliği olan, sızma ve diğer tüm testleri (Zafiyet taraması, kaynak kod analizi, APT analizi, Uygulama güvenliği testi)  kendi kadroları ile yapan firmaları tercih etmeniz, projeniz sonunda sahip olacağınız raporunuzun çok daha verimli olmasını sağlayacaktır.

Geçerli bilgi güvenliği sertifikalarına sahip, kendi kadrolarını bu konuda eğitmiş ve uzmanlaştırmış firmalar hem gizlilik, hem de zafiyetlerinizi en doğru şekilde size raporlamak için doğru tercihtir.

Referanslarını sizinle rahatlıkla paylaşamayan firmaları seçmeniz, sizin de gizliliğiniz için en doğru seçimdir.

Yetkili bir otorite tarafından onaylı, gerçekleştirilmiş ve gerek ülkemizde, gerekse global boyutta bilgi güvenliği projesi gerçekleştirmiş bir iş ortağı ile çalışmak sizin seçtiğiniz iş ortağını bu konuda odaklı ve uzman olduğunu kanıtlayacaktır.

Gerektiğinde zafiyet istismar kodu geliştirmek sızma testi ile maliyeti çok daha düşük olan ve otomatik araçlar ile yapılan zafiyet taraması testi arasındaki en büyük farktır. Sızma testi konusunda iş ortaklığı yapacağınız firmanın bu kodları geliştirebileceğinden emin olun.


ISR, kendi standartları ile geliştirdiği ve Tübitak- MARTEK tarafından onaylı sızma testi metodolojisi ile gerçeğe en yakın ve verimli testleri müşterilerine sunar. Bu standartlar gereği testlerin raporları, tüm test sürecinde olan gizlilik ilkeleri ve prensipleri içerisinde müşterilerine "Güvenli" bir kanaldan teslim eder. Raporun tesliminin ardından kapatılan açıklar tarafımızdan tekrar kontrol edilir. Ayrıca ISR tarafından sağlanan tüm test hizmetleri global boyutta kabul görmüş,  CEHv8, OSCE ve OSCP sertifikalı uzmanları tarafından gerçekleştirilir.

Popüler Yayınlar