Siber Güvenlik

Sızma ya da “Penetrasyon Testi” nedir?

Sızma testini iki temel aşamaya ayırabiliriz: Tarama ve İstismar

Tarama aşamasının temel amacı, hedef ortam hakkında daha fazla bilgi edinmek ve tespit edilen herhangi bir hedef sistem ve / veya ağ bileşeni ile doğrudan etkileşime girerek zafiyetleri ortaya çıkarmaktır. Ayrıca olumlu bir yan etki olarak tarama, hedef ortamın kapsamına dahil edilmeyen diğer açıkların belirlenmesini de sağlar.

Sömürü aşamasının temel amacı, tarama aşamasında tespit edilen güvenlik açıklarına odaklanarak istismar edilebilir olduklarını göstermektir. Test uzmanı bu aşamada mevcut güvenlik önlemlerini istismar ederek, erişimi genişleterek ve elde edilen ayrıcalık düzeyini yükselterek, aktif olarak sistemin geneline erişim sağlamaya çalışır.

Üç tür penetrasyon testi vardır: black box, white box ve gray box. Black box yaklaşımında, ilgili kurum tarafından hiçbir bilgi sağlanmaz. White box yaklaşımında test edilen kurum, sızma testi uzmanına, ağ ve uygulamaların tüm ayrıntılarını sağlar. Gray box yaklaşımında ilgili kurum, hedef sistemlerle ilgili kısmi ayrıntılar sağlar.

”Güvenli Kod Analizi” nasıl yapılır?

Kod Güvenliği İncelemesi, yazılım yaşam döngüsü (SDLC-software development life cycle) süreçlerinde kaynak kodunda meydana gelebilecek olası güvenlik açıklarının erken zamanda tespit edilebilmesine yönelik inceleme sürecidir.

Kod Güvenliği İncelemesi, “Güvenli Kod Analizi”, “Kaynak Kod Analizi” ya da “Statik Kod Analizi” olarak farklı şekillerde de adlandırılabilir ve bir uygulamada güvenli olmayan kod parçalarını tanımlayan bir işlemdir. Yazılım geliştiriciler gibi uzmanlar tarafından, yazılım yaşam döngüsünün (SDLC) erken bir aşamasında gerçekleştirildiğinden ve sızma testi sırasında bulunamayabilecek güvenlik açıklarının belirlenmesine yardımcı olduğu için, sızma testinin ideal tamamlayıcısıdır. Hem fark analizi (Gap Analysis) sırasında, hem de uygulama geliştirmenin bir parçası olarak mutlaka uygulanmalıdır. Bir uygulamadaki olası bir zafiyet, nihai durumda güvenli olmayan bir sisteme yol açabilir.

Güvenli Kod İncelemesi, gelişmiş bir yazılım kalitesi ve güvenlik seviyesine sahip olmanızı sağlar. Test yaklaşımı, aynı zamanda “beyaz kutu analizi” olarak da adlandırılır. Bu, SDLC’nin kodlama aşamasında kullanılan teknolojiler (programlama dilleri, geliştirme araçları, resmi geliştirme süreçleri ve kullanılan çerçeveler) hakkında bilgi sahibi olmanız anlamına gelir.

”Zafiyet Analizi” nasıl faydalar sağlar?

Zafiyet taraması, altyapı ve sistemlere yönelik potansiyel risklerin oluşturabileceği tehlikelerin analiz edilmesidir. Genel olarak zafiyet analizi önemli varlıkların kategorize edilmesini ve risk yönetimi sürecinin uygulanmasını sağlar.

Zafiyet analizinin, risk değerlendirme süreciyle ortak pek çok yönü vardır. Değerlendirmelerin genel olarak gerçekleştirildiği ölçütler; bir sistemde bulunan varlıkları ve kaynakları sınıflandırmak, bu kaynaklara ölçülebilir değerler tanımlamak ve önem derecesi belirlemek, her bir kaynağa yönelik güvenlik açıklarını veya potansiyel tehditleri tanımlamak, en önemli kaynaklar için en ciddi zafiyetleri azaltmak veya ortadan kaldırmak şeklindedir.

Zafiyet analizi araçlarının çoğu, güvenlik açıklarını değerlendirmek ve sınıflandırmak için, “Ortak Güvenlik Açığı Puanlama Sistemi (CVSS- Common Vulnerability Scoring System)” derecelendirmeleri gibi yaygın ölçütler kullanır. 24 Solutions olarak, bir güvenlik açığının oluşturduğu riskleri gerçekten anlamak için, bu temel ölçütlerin ötesine bakmanıza yardımcı oluyoruz.

”Siber Güvenlik Danışmanlığı” nedir?

Bilgi Teknolojileri Güvenliği uzmanlarımız, bilginin risk altında olabileceği tüm ortamları değerlendirmekte ve bunlara karşı yapılabilecek her türlü teknik testleri yerine getirmektedirler.

Bilgi Teknolojileri Güvenliği uzmanlarımızın birikimleri ve tecrübeleri, veri tabanları, ağlar, donanım, güvenlik duvarları ve şifreleme konusunda oluşabilecek saldırıları önlemeye yardımcı olur. Uzmanlarımız, mevcut altyapı ve sistemleri zayıf yönleri için değerlendirir ve ardından yetkisiz erişimi, veri değiştirmeyi veya veri kaybını önlemek için güvenlik çözümleri geliştirip uygularlar. Finansal ve kişisel bilgilerin çalınmasını önler, bilgisayar sistemlerinin sorunsuz çalışmasını sağlar ve bilgisayar korsanlarının özel verilere erişmesini ve bunları ifşa etmesini engellerler.