Son Kullanıcı Güvenliği

 

Kurumsal Veri Güvenliği

Gittikçe artan siber saldırılar büyük küçük fark etmeksizin ülkemizde yer alan birçok işletmelere ciddi anlamda kayıplar yaşatmaktadır. İşletmeler bu saldırılar sonucu veri, para, itibar ve zaman kayıplarına uğramaktadır. Bu nedenle önce global anlamda ülkelerin daha sonra da işletmelerin siber güvenliğe bakış açılarını en üst seviyeye çıkartması gerekmekte olup risk analizi, siber güvenlik politikaları ve denetimlerini çok iyi bir şekilde hayata geçirmeleri gerekmektedir.

İşletmeler gözünden siber güvenliğe bakıldığında, küresel dünyadaki gelişmelere ve artan rekabet koşullarına uyum sağlayabilmek için bilgi teknolojileri alt yapısı yoğun olarak kullanılmaktadır. Hemen hemen her firmada email sistemi, erp sistemi, e-fatura sistemi, ortak dosya sistemi, personel takip sistemi, kullanıcıların merkezi olarak yönetildiği hesap yönetim sistemleri kullanılmaktadır. İşletmeler kullanmakta oldukları bu sistemlerin siber tehditler ve siber saldırılar gibi içerden ya da dışarıdan gelen bazı önemli tehdit ve riskleri de etkisiz hale getirmek zorundadır.

İşletmeler maruz kaldıkları siber saldırılar sonucunda yüksek maliyetlerle karşı karşıya kalırken, dünya genelinde de siber suçların çok ciddi zararlara ve maliyetlere neden olduğu görülmektedir. Bu sebeple işletmelerin ve ülkelerin hazırlıklı olmaları, gerekli altyapı sistemlerini oluşturmaları, risk ve kontrol değerlendirmeleri ile siber güvenlik denetimlerini çok iyi bir şekilde uygulayabilmeleri gerekmektedir. İşletmelerin hayatlarına devam edebilmeleri için üretim ve satışlarını arttırma, devamlılığını sağlama, değerini ve kârını maksimum, maliyetlerini minimum yapma, istihdamı sürekli kılması gerekmektedir. Ayrıca bu iş hedeflerine ulaşabilmesi içinde güvenebileceği verilerin ve sistemlerin sürekli kullanılabilirliğini sağlamalıdır.

Verilerin korunmasının sadece maddi anlamda değil hukuki anlamda da sonuçları vardır. Verilerin korunması, kanun ve yönetmelikler kapsamında yasal yükümlülüklerin yerine getirilmesi için zorunludur. Aynı şekilde bu verilerin gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanması rekabet ortamında var olabilme hem de sektördeki ticari imajı korumak için zorunlu hâle gelmiştir.

Bu noktada, teknoloji yatırımlarınızı korumak için ihtiyaç duyduğunuz güvenilir iş ortağınız Orenda Bilişim Teknolojileri olarak internete açık sistemlerde, geniş alan ağ bağlantılarında, VPN/Extranet/Intranet uygulamalarında ve yerel alan ağ üzerinde yer alan müşterilere ait bilgi ve iletişim güvenlik uygulamaları konusunda dünyanın en iyi üreticileri ile çalışıyor; size özel çözümü en hızlı ve güvenilir bir şekilde sizlere sunuyoruz. İş süreçlerinizin kesintisiz bir şekilde işleyebilmesi için yaptığımız detaylı analizlerle, kurumunuzun bilişim güvenliği ihtiyaç ve eksikliklerini belirliyor; aşağıdaki hizmetleri tam ve kapsamlı bir şekilde sunuyoruz:

  • Ağ Güvenliği Yazılımları
  • Güvenlik Duvarı Cihazları
  • Kurumsal Antivirüs Çözümleri
  • Posta Güvenlik Yazılımları
  • Proxy Uygulamaları / Kullanıcı İnternet Erişim Denetimi
  • Saldırı Algılama ve Önleme Çözümleri
  • Son Kullanıcı Güvenlik Yazılımları
  • Sunucu Güvenlik Yazılımları
  • VPN Çözümleri ve Encryption Uygulamaları
  • Web Güvenlik Yazılımları
  • Zaafiyet Analizleri ve Penetrasyon Testleri
  • 5651 Kanuni Loglama Çözümleri

Penetrasyon (Sızma Testi-Pentest)

Sızma Testi (Penetrasyon testi-PENTEST); kötü amaçlı bir saldırganın içeriden yada dışarıdan sistemlere verebileceği zararı önceden görebilmek ve zayıflıklar için tedbir alabilmek amaçlı planlanmış bir saldırı simülasyonudur.

Sızma Testi çeşitleri:

Kuruluş ihtiyacına bağlı olarak, sızma testi kapsamında testler 3 ana vektör üzerinden yapılır:

İç ağdan yapılacak sızma testleri: Kuruluş ağının içinde bir erişim noktası kullanılarak yerel ağ ve bu ağa bağlı sistemler test edilir.
Dış ağdan yapılacak sızma testleri: Kuruluşa ait ve internet üzerinden erişilebilen sistemler test edilir.
Web uygulama sızma testleri: Web uygulamaları üzerinden hangi verilere ve/veya iç sistemlere erişilebileceği test edilir.

Sızma Testinde Verilen Hizmetler:

  • Sistemlerin keşif ve tarama çalışmaları
  • Sistemler ve ağ üzerindeki zafiyetlerin tespit edilmesi
  • Tespit edilen zafiyetlerin istismar edilmesi
  • Saldırı simülasyonu kapsamında manüel sızma testlerinin yapılması
  • Raporlama (Tespit edilen zafiyetlerin giderilmesi için önerilerin sunulması)
  • Workshop: Siber güvenlik ve etik hacking
  • Kontrol testleri
  • Kontrol testinin raporlanması


Sızma testlerinin bazı yararları aşağıda sıralanmıştır:

  • Belirli bir saldırı vektör kümesinin olabilirliğinin belirlenmesi,
  • Belirli bir sıralamada kullanılan düşük riskli açıklıkların bir kombinasyonundan kaynaklanan yüksek riskli açıklıkların tespit edilmesi,
  • Ağ veya uygulama açıklık tarama yazılımları ile tespit edilmesi güç veya imkânsız olan açıklıkların tespit edilmesi,
  • Başarılı saldırıların, olası iş etkisi ve operasyonel etkilerinin değerlendirilmesi,
  • Ağ koruma cihazlarının ve uygulamalarının saldırıları tespit etme ve karşılık verme kabiliyetlerini test etme,
  • Güvenlik personeli ve teknolojisine yönelik artan yatırımlara gerekçelendirme sağlanması
  • Mevcut yazılım-donanım veya ağ altyapısının bir değişiklik veya sürüm yükseltmeye ihtiyacı olup olmadığının belirlenmesi


Zafiyet Taraması

Zaafiyet taraması, sistemlerdeki zafiyetlerin çeşitli yazılımlar kullanılarak bulunması, analiz çalışması yapılarak tanımlanması,  ölçülmesi ve önem sırasına göre düzenlenmesi, sisteme gelebilecek saldırılardan önce fark edilerek kabul edilebilir seviyeye indirgenebilmesidir.

Kurumlar özellikle maliyet unsurlarını göz önünde bulundurarak sızma testlerini genellikle senede bir kere yaptırmaktadır. Ancak çıkan kritik güvenlik açıklarının sıklığı ve tehditlerin çokluğu göz önünde bulundurulduğunda yılda bir kez sızma testi yapılması ile sistemlerin güvenliğinden söz etmek pek de mümkün değildir.

Zafiyet Taraması Metodolojisi Temelde 3 aşamadan oluşan bir döngüdür.

Öncesi:

  • Tarama kapsamının belirlenmesi.
  • Tarama sırasında gerekli olacak süreçlerinin oluşturulması.
  • Kritik varlıkların belirlenmesi ve ölçülmesi.


Zafiyet taraması adımları:

  • Ağ mimarisinin analizi.
  • Tehditlerin ortaya konulması.
  • Taramanın gerçekleştirilmesi.
  • Bulunan zafiyetlerin teyit edilmesi.
  • Güvenlik politikalarının ve süreçlerinin incelenmesi.
  • İş etki analizinin yapılması.
  • Risk modellemesinin yapılması.
  • Kapsamda ise fiziksel zafiyetlerin belirlenmesi.


Sonrası:

  • Tarama sonuçlarının önceliklendirilmesi.
  • İyileştirme önerilerinin belirlenmesi ve önceliklendirilmesi.
  • Tavsiye edilen iyileştirmeler için bir eylem planının oluşturulması.
  • Sonraki taramaların etkisini artırmak için öneriler.