Zafiyet Yönetimi

Kurum ihtiyaçları doğrultusunda zafiyet yönetiminin etkin bir şekilde yapılabilmesi için, uygun aracın seçimi, kurulumu ve yapılandırılması ile gerekli olduğu durumlarda dış kaynak kullanımı ile işletilmesini içeren hizmettir. Zafiyetlerin sisteme girildikten kapatılana kadar geçen süre içinde gerekli tüm danışmanlık ve uzman desteği bu hizmet kapsamında sağlanmaktadır. Bu hizmet kapsamında regülasyonlara uygun raporların üretilmesi, varlıkların tespiti ve etiketlenmesi, bulgu ve süreç yönetimi ile önceliklendirme yapılarak problemlerin hızlıca giderilmesi gerçekleşmektedir.

Kurum için risk oluşturabilecek tüm sistemlerin sürekli olarak keşfi ve test edilmesi, gerekli sızma testlerinin ve zafiyet taramalarının belirli periyotlar halinde yapılmasının sağlandığı hizmet kalemidir. Bu hizmet ile devreye alınacak uygulama ve sistemlerin canlıya geçmeden testi, devreye alındıktan sonra canlı ortamlarda kontrolü, ihtiyaç duyulabilecek diğer güvenlik test ve analiz hizmetlerinin verilmesi sağlanmaktadır. Çalışmalar kapsamında tespit edilen tüm bulgular zafiyet yönetim sistemi üzerinden takip edilerek, kurumun sürekli olarak yeni çıkabilecek tehditlere karşı hazır olması, zafiyetlerin giderilmesi ve zaman içinde direncinin arttırılması hedeflenmektedir.

Kurum sistemlerinin etkilenebileceği zafiyetlerin envanter yönetimi ve etiketleme sayesinde pasif olarak tespit edilmesi sağlanmaktadır. Bunun için Cyberwise tarafından geliştirilmiş yazılımlar kullanılmakta sürekli olarak yeni zafiyetler, zafiyet trendleri, exploit veri tabanları takip edilerek oluşturulan alarm ile bilgilendirme sağlanmaktadır. Söz konusu hizmet zafiyet yönetim ve sürekli sızma testleri ile birlikte veya ayrı olarak verilebilmektedir.

Kuruma ait marka, etki alanı, e-posta, IP Adresi, sosyal medya hesapları ve bilgi güvenliği açısından tehdit oluşturabilecek diğer konular için Internet üzerindeki herkese açık kaynaklar takip edilerek, tespit edilen olası tehditler anlık uyarılar ile iletilmektedir. Bu hizmet kapsamında arşiv kaynakları, arama motorları, deepweb, sosyal medya ortamları OSINT teknikleri ile sürekli olarak kurum için takip edilecektir.

Kurum iş ortakları, üye iş yerleri veya tedarikçilerinden kaynaklanabilecek riskleri, zafiyet ve tehdit yönetimi yaklaşımı ile kurum adına yönetildiği ve çeşitli kategorilere göre risk skorlamasının gerçekleştirildiği hizmetlerdir. Varlık yönetimi, risklerin ve zafiyetlerin önceliklendirilmesi ve bunların giderilmesi için gerekli desteğin verilmesi konusunda hizmet süresince katkı sağlanmaktadır.

Kurum ihtiyaçları doğrultusunda zafiyet yönetiminin etkin bir şekilde yapılabilmesi için, uygun aracın seçimi, kurulumu ve yapılandırılması ve dış kaynak kullanımı ile işletilmesini içeren hizmettir. Zafiyetlerin sisteme girildikten kapatılana kadar geçen süre içinde gerekli tüm danışmanlık ve uzman desteği bu hizmet kapsamında sağlanmaktadır. Bu hizmet ile kurumun ihtiyaç duabileceği otomatik zafiyet tararamaları ve oluşan bulguların yönetilmesi sağlanmaktadır. Hizmet kapsamı aşağıda yer almaktadır.

  • Zafiyet yönetimi sistemi ve zafiyet tarama aracı kurulumu
  • Zafiyet yönetim sisteminin uzaktan işletimi ve bakımı
  • Sistemi işletecek uzman kaynağın tahsis edilmesi
  • 5 x 8 telefon ve e-posta desteği
  • Periyodik zafiyet taramalarının planlanması ver gerçekleştirilmesi
  • Tarama sonuçlarının değerlendirilmesi, sorumlularına atanması ve çözüm/önerilerin iletilmesi
  • Doğrulama testlerinin gerçekleştirilmesi ve kanıt toplama
  • Yeni zafiyetler için tanımlı varlık envanterinin takibi
  • Zafiyet tarama aracı dışında iletilen zafiyetlerin sisteme girilmesi ve atanması
  • İhtiyaç duyulabilecek raporların zafiyet yönetim sistemi kullanılarak hazırlanması

Hizmet ile ilgili diğer hususlar aşağıdaki gibidir.

  • Zafiyet yönetim platformu olarak Cyberwise tarafından geliştirilen Bizzy platformu, zafiyet tarama aracı olarak Tenable Nessus Professional aracı kullanılmaktadır.
  • Tüm lisanslar 1 yıl süre ile geçerlidir.
  • Bizzy lisansı 1000 varlık ile sınırlandırılmıştır.
  • Yönetim sistemine uzak erişimler VPN üzerinden sağlanmaktadır.
  • Periyodik taramalara aylık olarak gerçekleştirilmektedir.
  • Zafiyet atama işlemi yapılabilmesi için zafiyet veya sistem sorumluluk bilgisi önceden Kurum tarafından hazırlanmalıdır.
  • Zafiyetlerin giderilmesi kurum uzmanlarının sorumluluğundadır.

Kurum ihtiyaçları doğrultusunda zafiyet yönetiminin etkin bir şekilde yapılabilmesi için, uygun aracın seçimi, kurulumu ve yapılandırılması, dış kaynak kullanımı ile işletilmesini ve kurumun ihtiyaç duyabileceği sızma testlerini içeren hizmettir. Zafiyetlerin belirlenmesinden sisteme girilmesine ve kapatılana kadar geçen süre içinde gerekli tüm danışmanlık ve uzman desteği bu hizmet kapsamında sağlanmaktadır. Bu hizmet ile kurumun ihtiyaç duabileceği otomatik zafiyet tararamaları ve sızma testleri neticesinde oluşan bulguların yönetilmesi sağlanmaktadır. Hizmet kapsamı aşağıda yer almaktadır.

  • Zafiyet yönetimi sistemi ve zafiyet tarama aracı kurulumu
  • Zafiyet yönetim sisteminin uzaktan işletimi ve bakımı
  • Sistemi işletecek uzman kaynağın tahsis edilmesi
  • 5 x 8 telefon ve e-posta desteği
  • Periyodik zafiyet taramalarının planlanması ver gerçekleştirilmesi
  • Yılda 1 defa Internet üzerinden ve kurum yerel ağı içinden sızma testlerinin gerçekleştirilmesi
  • Tarama sonuçlarının değerlendirilmesi, sorumlularına atanması ve çözüm/önerilerin iletilmesi
  • Doğrulama testlerinin gerçekleştirilmesi ve kanıt toplama
  • Sızma testi bulgularının değerlendirilmesi için ihtiyaç duyulabilecek toplantıları katılım
  • Yeni zafiyetler için tanımlı varlık envanterinin takibi
  • Zafiyet tarama aracı dışında iletilen zafiyetlerin sisteme girilmesi ve atanması
  • Yıl içinde yeni devreye alınacak sistemler için sızma testlerinin gerçekleştirilmesi
  • İhtiyaç duyulabilecek raporların zafiyet yönetim sistemi kullanılarak hazırlanması

Hizmet ile ilgili diğer hususlar aşağıdaki gibidir.

  • Zafiyet yönetim platformu olarak Cyberwise tarafından geliştirilen Bizzy platformu, zafiyet tarama aracı olarak Tenable Nessus Professional aracı kullanılmaktadır.
  • Tüm lisanslar 1 yıl süre ile geçerlidir.
  • Bizzy lisansı 1000 varlık ile sınırlandırılmıştır.
  • Sızma testleri kuruma ait ve yönetimi kurum kontrolünde olan Internet ve yerel ağ üzerinden erişilebilir sistemleri içermektedir. Çalışma kapsamı, Kurum tarafından iletilen kapsam ile sınırlandırımıştır.
  • Sızma testleri yılda 1 defa olacak şekilde planlanmıştır.
  • Yönetim sistemine uzak erişimler VPN üzerinden sağlanmaktadır.
  • Periyodik taramalara aylık olarak gerçekleştirilmektedir.
  • Zafiyet atama işlemi yapılabilmesi için zafiyet veya sistem sorumluluk bilgisi önceden Kurum tarafından hazırlanmalıdır.
  • Zafiyetlerin giderilmesi kurum uzmanlarının sorumluluğundadır.
  • Yıl içinde devreye alınacak sistemler için sızma testlerinin gerçekleştirilmesi iş kalemi 10 a/g ile sınırlandırılmıştır. Bunu geçen taleplerde verilecek hizmet, belirlenecek adam/gün bedeli üzerinden ayrıca ücretlendirilecektir.