Sızma Testleri ve Analiz Hizmetleri

İnternet üzerinden erişilebilir kurum kaynaklarına (dns, ftp, e-posta, web, güvenlik duvarı, vpn, telekonferans vb.) değişik kullanıcı hakları ve profilleri ile çeşitli araçlar ve yöntemler kullanılarak gerçekleştirilen, bilinen muhtemel güvenlik açıklarını saldırganlardan önce keşfetmeyi amaçlayan denetim hizmetidir. Bu testler, kullanılan teknolojiyi test etme yeteneğine sahip çeşitli ticari ve açık kaynak kodlu zafiyet tarama araçları, uzmanlarımız tarafında geliştirilen yazılımlar, ağırlıklı olarak da testi gerçekleştirecek uzmanın deneyimini yansıttığı elle kontroller ile gerçekleştirilmektedir. Her sızma testi uzmanı Cyberwise tarafından geliştirilmiş ve sürekli güncel tutulan test metodolojisini baz alarak bu testleri gerçekleştirmektedir.

Kurum yerel ağı içinden değişik kullanıcı profilleri ile farklı erişim noktaları üzerinden, kurum tarafından kullanılan sistemler, uygulamalar ve altyapı üzerinde bulunabilecek yapılandırma hatalarını ve güvenlik problemlerini belirlemeyi amaçlayan sızma testleridir. Bu testlerde yerel ağlar içinde sıkılıkla kullanılan aktif dizin, veri tabanları, sanallaştırma sistemleri, ses altyapısı, istemciler ve kurumun faaliyet alanına uygun olarak kullanılabilecek özel altyapılar incelenmektedir. Bu testler, kullanılan teknolojiyi test etme yeteneğine sahip çeşitli ticari ve açık kaynak kodlu zafiyet tarama araçları, uzmanlarımız tarafından geliştirilen yazılımlar, ağırlıklı olarak da testi gerçekleştirecek uzmanın deneyimini yansıttığı elle kontroller ile gerçekleştirilmektedir. Her sızma testi uzmanı, Cyberwise uzmanları tarafından geliştirilmiş ve sürekli güncel tutulan test metodolojisini baz alarak bu testleri gerçekleştirmektedir.

Web uygulamaları diğer ağ uygulamalarına kıyasla karmaşık yapıları, kullanılabilecek uygulamaların çeşitliliği ve değişkenliği sebebiyle daha gelişmiş yöntemler kullanılarak değerlendirilmelidirler. Web uygulaması güvenlik testlerinde temel amaç, hedef uygulamaların değişik kullanıcı hakları ile OWASP baz alınarak Cyberwise uzmanları tarafından geliştirilmiş metodolojiye göre uygulama problemleri için kontrol edilmesi ve zafiyetlerin ortaya çıkarılmasıdır. Bu çalışmalar uygulama problemleri ve zafiyetleri, uygulamanın çalıştığı platform, kullandığı teknoloji, performansı, yerine getirmek için tasarlandığı fonksiyonlarda ortaya çıkabilecek mantıksal hatlar gibi çok sayıda noktayı adreslemektedir.

Üretici ve teknoloji bağımsız olarak, mobil cihazlar üzerinde çalışmak üzere tasarlanmış uygulamalarda bulunabilecek zafiyetleri ortaya çıkarmak için düzenlenen sızma testleri çalışmasıdır. Bu çalışmalarda hem istemci tarafı hem de mobil istemcilerin arka planda konuştuğu uygulamalar, değişik kullanıcı hakları ve profilleri ile kontrol edilmekte, risk oluşturan tüm unsurlar Cyberwise uzmanları tarafından geliştirilmiş ve sürekli güncel tutulan test metodolojisini baz alınarak ortaya çıkartılmaktadır.

Kurum tarafından kullanılan çevresel güvenlik önlemlerinin ve izleme sistemlerinin etkinliğini ölçmek, kurum güvenlik ekiplerinin tasarlanan süreçlere uygun hareket edip etmediğini ve bir saldırı durumunda nasıl aksiyon alındığını görebilmek amacıyla belirlenen bir hedef doğrultusunda gerçekleştirilen testlerdir. Bu testlerde bir saldırgan gibi hareket edilerek çeşitli saldırı vektörleri üzerinden, konulan hedefe ulaşılmaya çalışılır. Bu amaçla OSINT çalışmaları, özel donanım ve zararlı hazırlama, zafiyet istismar etme gibi pek çok aktivite planlan zaman dilimi içinde gerçekleştirilir.

DOS/DDoS testleri kurum sistemlerinin servis dışı bırakmaya yönelik değişik saldırlar altında nasıl davrandığını görmek ve mevcut tedbirlerin etkinliğini ölçerek muhtemel yapılandırma hatalarını ortaya çıkartmak için gerçekleştirilen testlerdir. IP spoofing gibi bu testlerde mutlaka uygulanması gereken tekniklere de izin veren bir alt yapı üzerinden ağ ve uygulama katmanında her türlü DOS/DDOS saldırısı kontrollü olarak gerçekleştirilebilmektedir. Ek olarak uygulama katmanındaki saldırılar 1000 farklı IP adresi kullanılarak hedef sistemlere yollanabilmekte, botnet simülasyonu gerçekleştirilebilmektedir.

Uygulamalar güvenli olduğu kadar performanslı da çalışmalıdır. Uygulamaların performansını ölçebilmek için web uygulama yük testleri gerçekleştirilebilmektedir. Bu testlerde uygulamaların değişik senaryolar ve kullanıcı yükleri altında nasıl davrandığını görmek ve mevcut alt yapının kaldırabileceği maksimum ve optimum performans değerlerini ortaya çıkartmak amaçlanmaktadır. Sonuç olarak test yapılan nokta ve testin gerçekleştirildiği sistem veya uygulama üzerinden alınan bilgiler ile performans artırıcı önlemler alınması konusunda katkı sağlanmakta, uygulamanın performans dar boğazı oluşturan noktaları belirlenerek iyileştirici öneriler sunulmaktadır. Bu hizmet Cyberwise tarafından geliştirilmiş test yazılımları ile bulut veya Cyberwise altyapısı üzerinden sağlanabilmektedir.

Kurum tarafından kullanılan kablosuz ağ altyapısı, içerdiği bileşenler, istemciler ve sistemler taşıyabilecekleri yapılandırma hataları ve zafiyetler için kontrol edilmektedir. Kurum ağı içinden veya dışından çeşitli bölgelerden yapılan kontroller ile kurum kablosuz ağına sızma, misafir ağından diğer ağlara geçme, korsan ağlar ile kurum çalışanlarına ait bilgileri toplama, kablosuz ağ yönetim sisteminin yapılandırmasını kontrol etme bu çalışma kapsamında gerçekleştirilen aktiviteler arasındadır.

Sosyal mühendislik testleri, kurum çalışanı ve kurum dahilinde kullanılan süreçlerden kaynaklanan zafiyetleri bulmaya yönelik gerçekleştirilen denetim çalışmasıdır. En eksiksiz kurulan güvenlik sistemi bile kullanıcı hataları karşısında yetersiz kalabilmektedir. Sosyal mühendislik testleri, kurum çalışanlarının güvenlik bilinç seviyesinin, insani zafiyetleri ortaya çıkaracak şekilde ölçüldüğü testlerdir. Bu testlerde kişilerin bilgi sızdırması veya güvenlik açısından riskli olacak eylemleri yapması için çeşitli yöntemlerle ikna edilmesiyle genel bilinç seviyesi belirlenir. Bu amaç ile e-posta, telefon veya özel hazırlanmış donanımlar üzerinden saldırılar düzenlenmekte, kullanıcıyı ikna etmeye yönelik özel içerikler hazırlanmakta ve saldırı sonrasında da yine Cyberwise tarafından hazırlanmış farkındalık eğitimlerine yönlendirilebilmektedir.

Kurum bünyesinde kullanılabilecek ORACLE, MSSQL, MySQL, IBMDB2, POSTGRESQL veri tabanı sistemlerinin yetkili kullanıcı gözüyle kontrol edilmesi ve güvenlik açısından sorun çıkarabilecek unsurların belirlenmesi işlemleridir.

Kurum güvenlik duvarı sistemleri veya benzer sistemler üzerinde sağlanan mantıksal ayrımların ve oluşturulan ağ segmentlerinin, PCI gibi uluslararası standartlara uyumluluğunu sağlamak amacı ile gerçekleştirilen analiz ve test çalışmalarıdır. Bu çalışmalarda tanımlı kurallar uzaktan yapılan testler ve yapılandırma denetimleri incelenerek, oluşturulması hedeflenen güvenlik mekanizmasında bir problem olup olmadığı veya segmentasyon kontrollerini bozacak bir kural bulunup bulunmadığı kontrol edilmektedir.

Kurum tarafından, JAVA, C#, C++ ve PHP dilleriyle geliştirilmiş uygulamaların statik kod analiz yöntemleri kullanılarak güvenli yazılım geliştirme konusunda uzman personel tarafından incelenmesi ve problemlerin kod içinden belirlenmesi yaklaşımını kullanan denetim çalışmasıdır. Bu çalışmalarda kurum için lisanslanan ticari yazılımlar kullanılmakta, alınan çıktılar içindeki gerekli hatalar ayıklanarak raporlanmaktadır.

Saldırganlar tarafından oluşturulmuş, kurumu hedefleyen zararlı yazılımların analiz edildiği hizmetidir. Bu hizmet kapsamında yapılan çalışmalar neticesinde zararlı yazılımın nasıl hareket ettiği, hangi sistemler ile haberleştiği, çalışma yapısı, kullandığı yayılma yöntemleri, temel amacı ve sistemler üzerinden nasıl temizlenebileceği ile ilgili bilgiler üreten raporlar sunulmaktadır.

Kurallar oluşturulurken yapılabilecek hatalar veya eksiklikler, korunması istenen sistemlere doğru istenmeyen bağlantıların yapılmasına yol açabilir. Kurallar ve firewall yönetici sayısı arttıkça bu konuda yapılabilecek hata ve potansiyel risk artar. Bu konuda yaşanan bir başka problemse, uzun süredir firewall kullanılan ağlarda geçmişten kalan kuralların değiştirilmemesidir. Genellikle kaldırılmasının bağlantı sorunlarına neden olabileceği düşünülerek, silinmesine cesaret edilemeyen bu kurallar güvenlik riskleri yaratabilmektedir. Firewall kural analizi ile kurumun güvenlik duvarı sistemleri üzerindeki kuralların oluşturabileceği risklerin ortaya çıkartılması hedeflenmektedir.

WAF ve IPS sistemlerinin ne kadar etkin çalıştığını görmek amaçlı yapılan kontrollerdir. Bunun için Cyberwise uzmanları tarafından hazırlanan araçlarla üretilen ve korunan sistemler üzerindeki bileşenlerin etkilenebileceği zafiyetleri hedefleyen saldırılar kullanılarak, hangilerinin bu sistemler tarafından engellendiğinin belirlendiği testlerdir. Testler neticesinde bir başarım oranı hesaplanarak çevresel güvenlik önlemleri üzerinde olabilecek yapılandırma hataları ve eksiklikler ortaya çıkartılmaktadır. Elde edilen veriler ışığında bulunan sorunlara yönelik çözüm üretilerek, mevcut sistemin daha etkin çalışması sağlanmaktadır.

SIEM yazılımları güvenlik izleme amacı ile kullanılan en önemli uygulamalardır. Gerçekleşen saldırı aktivitelerinin doğru ve zamanında tespiti, log kaynaklarının doğru seçilmesi, alarm üretmek için oluşturulan kuralların kalitesi ve doğru korelasyon yapabilme yeteneği gibi pek çok unsura bağlıdır. Bu hizmet kapsamında yaygın kullanılan saldırı yöntemleri ve Mitre Att&ck framework’ündeki saldırı yöntemlerine uygun testler yapılarak bunların hangileri için alarm oluştuğu, hatalı, eksik veya çift tanımlı kurallar olup olmadığı kontrol edilir. Neticede yapılan simülasyonlar ile SIEM sistemine ve izleme yapan ekibe doğru olaylar için önceliklendirme, saldırı görünürlüğünü arttırma, saldırgan davranışlarını daha iyi analiz ederek doğru aksiyon almayı sağlama gibi yetenekler kazandırılır.

Kurum tarafından işletilen veya hizmet olarak alınan güvenlik izleme hizmetlerinin kalitesini ve tanımlı süreçlere uygun çalışıp çalışmadığını ölçmek üzere gerçekleştirilen hizmetlerdir. Bu hizmet kapsamında teknik olarak yapılan saldırılar ile izleme ekibinin ve kullanılan teknolojinin yetkinliği ölçülürken, masa başı alıştırmalar ile de süreç içinde yer alan unsurların değişik durumlarda nasıl hareket ettikleri, karar verdikleri ve tepki süreleri ölçülmektedir.

Gerçekleşen bir olay neticesinde olayın nasıl meydana geldiği, hangi yöntemlerin kullanıldığı, hangi sistemler ile nasıl iletişim kurduğu, nerelere yayılmış olabileceği, olayın meydana gelmesine neden olan zayıflıkların neler olduğu ve bunların nasıl giderilebileceği ile ilgili tüm ayrıntıların, zaman akışı ile birlikte ortaya çıkartılmaya çalışıldığı hizmetlerdir.

Nesnelerin İnterneti (IoT) altyapılarında bulunan tüm bileşenlere yönelik uçta-uca güvenlik analizlerini kapsamaktadır. Bu konudaki sızma testleri donanım, yazılım(firmware), iletişim protokolleri, bulut sistemler, kullanılan web/api servisleri ve web/mobil uygulamaların güvenlik analizleri, kullanılan IoT altyapısına özgü senaryolar irdelenerek gerçekleştirilir.