Sistem Güvenlik Denetimi

 

  Web Uygulama Güvenliği Denetimi

Günümüzde müessesesel güvenlik zincirinin en cılız halkalarından biri web uygulamalarının ve servislerinin güvenliğidir. Her ne kadar web uygulama geliştirmek için kullanılan .NET, JEE, PHP, vb. uygulama çatıları daha öncekine oranla daha tehlikesiz hale gelmiş olsalar da, en ciddi güvenlik zafiyetleri uygulama tabakasında ortaya çıkarılmaktadır. Enforsec, web uygulama sızma testi ile web uygulamalarında bulunabilecek hem syntactic hem de iş manayı zafiyetlerin bulunması ve çözüm tekliflerinin listelenmesi kastedilir. Enforsec, web uygulama sızma testi metodolojisi olarak OWASP Testing Guide ve Web Uygulama Güvenliği Kontrol Listesi’ni kullanmaktadır.

Mobil Uygulama Güvenliği Denetimi

Uslu makinelerin popülerliğine paralel olarak mobil uygulamaların kullanımı da yaygınlaşmıştır. Uygulama marketlerinde mobil uygulamaların indirilme rakamları çoktan milyarlar aşmış olup, bu uygulamaların web versiyonlarından daha az tehlikesiz olması birçok müessesesel firma için netlikle kabul edilebilir bir vaziyet değildir. Mobil uygulamalarının teftişi, hem banal web uygulama teftişlerini hem de platforma özgü ayrıntılı client side süreç tahlillerini kapsamaktadır. Android, IOS başta olmak üzere Blackberry, Windows Mobile gibi mobil platform uygulamalarının Enforsec sızma testleri ile native ve mobil web uygulamalarındaki güvenlik zafiyetlerinin bulunması ve çözüm tekliflerinin sunulması kastedilir.

Güvenli Kaynak Kod Analizi Denetimi

Uygulamalar üzerinde yapılabilecek ve neticeleri olarak en belirleyici teftiş biçimi yazılım kaynak kod tahlilidir. Bu teftişte hedef yazılımın kaynak kodları, belirli bir zaman zarfında otomatik ve manuel teftişten geçirilirler. Kaynak kod tahlili, banal web/mobil uygulama teftişinde çıkabilecek güvenlik problemlerini bulabileceği gibi bulunması güç iş manayı güvenlik zafiyetlerini de ortaya çıkarabilir. Kaynak kodu tahlili ile direk güvenlik zafiyetlerinin yanında dolaylı olarak güvenliği etkileyebilecek kararlılık ve performans problemleri de kolaylıkla bulunmaktadır. Enforsec kaynak kod tahlili ile hem otomatik hem de manuel olarak kodlar araştırılması ve problemlerin, çözüm teklifleri ile beraber sunulması kastedilmektedir. Enforsec kaynak kod tahlili metodoloji olarak OWASP Secure Coding Practices ve OWASP ASVS projelerini baz almaktadır.

Network Güvenlik Denetimi

Günümüzde tehlikesiz bir biçimde iletilmesi, işlenmesi ve saklanması operasyonları hayati ehemmiyet taşımaktadır. Network güvenlik teftişi ile müesseseler için bilginin iletilmesinde kullanılan IT alt yapısını oluşturan bileşenlerin sunucular, kullanıcı bilgisayarları, network aygıtları vb. zafiyetlerin bulunması ve çözüm tekliflerinin sunulması kastedilir.

Endüstriyel Uygulamalar (SCADA) Güvenlik Denetimi

Müesseselerin yapım ve dağıtım sistemleri gibi kritik alt yapılarının idare ve izlenmesinde kullanılan uygulamaların SCADA güvenlik problemlerinin ortaya çıkartılması ve bu problemlere endüstriyel IT bakış açısı ile çözümler sağlanması kastedilmektedir.

Veritabanı Güvenlik Denetimi

Veri tabanları kurum içinde hassas veriyi doğrudan sistemler olması sebebiyle saldırganların son hedef noktalarının başında kazanç. Her ne kadar uzaktan ulaşımlara sarih olmayan ve izole etraflarda içeren sistemler olsalar bile, gerek uygulama tabakaları üzerinden gerekse de müessese iç ağlarından yapılabilecek ataklara maruz kalmaktadırlar. Veri tabanı güvenlik teftişleri ile veri tabanlarına özgü güvenlik zafiyetlerinin çıkartılması ve bunların çözüm yöntemlerinin sunulması kastedilir.

Sosyal Mühendislik Testi

Sosyal Mühendislik testleri ile bilgi güvenliğinde insan etmeninin değerlendirilmesi kastedilmektedir. Bu testler, müessesenin iş kolu göz önünde bulundurularak güvenlik siyasetlerinin yeterliliği, çalışanların güvenlik farkındalığı, fiziksel güvenlik tedbirlerinin denenmesi gibi beşeri zafiyetler de tespit edilir. Teftişler sırasında genel sosyal mühendislik test yöntemleri kullanıldığı gibi müesseseye ve müessesenin iş kollarına özgü test senaryoları da hazırlanmaktadır.

Wireless Güvenlik Denetimi

Wireless Ağ Sızma Teftişleri kapsamında hedef alınan kablosuz ağ altyapısı, belirlenen lokasyonlar üzerinden kablosuz ağların bulguyu, tespit edilen kablosuz ağlarda bulunabilecek güvenlik zafiyetlerinin tespiti ve çözüm tekliflerinin sunulması kastedilmektedir.

DoS/DDoS Testi

DoS/DDoS hücumları, sistemlerin veya uygulamaların hizmet veremez vaziyete gelmelerini hedefleyen bir hamle çeşididir. Günümüz de saldırganlar tarafından yaygın biçimde kullanılan hamle cinslerinden bir tanesidir. Gerçekleştirilecek DoS/DDoS testleri, sistemlerin veya uygulamaların DoS/DDoS ataklarına karşı dayanıklılığını ölçmenize ve bulunan problemlerin giderilmesine katkı sunacak çözüm tekliflerine imkân sağlayacaktır.

(Enforsec Web Sitesi, https://bit.ly/3h5R2jQ, 2021).