Firmanın test için kullandıkları standartların geçerliliği, |
Firmanın test raporunda kullandığı uygulamaların lisansli araçlar olması |
Sızma testi işi firmanın sadece siber güvenlik hizmerleri yürütmesi |
Yöneticilere ve teknik çalışanlara özel iki farklı rapor sunumu |
Raporların okunabilir ve anlaşılır olması |
Testler esnasında keşfedilen kritik seviye güvenlik açıklıklarının anında bildirilmesi |
Pentest raporunun şifreli bir şekilde iletilmesi |
Keşfedilen güvenlik açıklarının nasıl kapatılacağı konusunda çözüm önerilerinin sunulması |
TS EN ISO 9001:2008 belgesi ve TS EN ISO 27001:2013 belgesi bulunacaktır. |
Şartname kapsamında verilecek tüm hizmetleri koordine etmek ve projenin planlandığı gibi ilerlemesini kontrol etmek üzere bir proje yöneticisi görevlendirecektir. |
Hizmet kapsamındaki hizmetleri gerçekleştirecek Firma ekibi en az 1 (bir) ISC2 ISSAP (Information Systems Security Architecture Professional), 1 (bir) ISC2 CISSP (Certified Information Systems Security Professional), 1 (bir) PMP (Project Management Professional), 1 (bir) GPEN (GIAC-Penetration Tester) ve 1 (bir) TSE Sertifikalı Ağ Sızma Testi Uzmanı ile 1 (bir) ISO 27001:2013 Baş Denetçi sertifikasına sahip kişilerden oluşacaktır. |
Türk Standartları Enstitüsü tarafından verilen ”TS-13638 sızma testi yapan personel ve firmalar için şartlar” standardı kapsamında “A veya B Sınıfı Onaylı Sızma Testi Firması” belgesine sahip olacaktır. |
Bu hizmet kapsamında hizmetleri gerçekleştirecek ekibin “Şahıs Güvenlik Belgesi” nin olması tercih sebebidir. |
Hizmet kapsamında hizmetleri gerçekleştirecek ekibinin, firmanın kendi bodrosunda olması gerekmektedir. |
Hizmet kapsamında hizmetleri gerçekleştirecek ekibinin, SCADA (Endüstriyel Kontrol Sistemleri) sızma testi yapabilecek kabiliyette olması gerekmektedir. |
Son iki yılda EKS sistemleri sızma testi referansı en az 2(iki) olmalıdır. |
Sızma Testi Çalışması İçerik & Yönergeler
Anahtar
Adımlar:
1.
Görünürlük
Analizi
2.
Aktif
Durumdaki Cihazların Keşfedilmesi
3.
Servislerin
Keşfedilmesi
4.
Güvenlik
Teknolojilerinin Keşfedilmesi
5.
İşletim
Sistemi Belirlenmesi
6.
DMZ
Analizi
7.
Uygulama
Analizi
8.
Güvenlik
Problemlerinin Değerlendirilmesi
9.
Güvenlik
Riskleri Tespiti ve Önceliklendirilmesi
10.
Manuel
Doğrulama
11.
Çözüm
Geliştirme ve Rapor Hazırlığı
Bu
aşamaların detayları aşağıda açıklanmıştır.
Görünürlük Analizi :
Bu aşamada Kurum Internet
üzerindeki varlığı ve alınabilen temel bilgiler gözden geçirilerek bilgisayar
sisteminin herhangi bir saldırıda
kullanılabilecek temel bilgileri toplanmaktadır.
Genel Bilgi Toplama, yapılan bir grup sorgulamalar sonucu
hedef organizasyon ya da intranet hakkında elde edilebilecek bilgileri ortaya
çıkarmaya dayanır.
Web sitesi Analizi: Kurum ile ilgili tüm web siteleri
özel bir araç ile çevirim dışı olarak içerik analizine tabi tutulacak, HTML
kodu içerebileceği önemli bilgiler açısından taranacaktır.
Ağ Numaralandırılması: Bu aşama hedef ağ ile ilgili bütün alan
(domain) isimlerinin belirlenmesini içerir.
DNS sorgulaması: DNS eğer yeterli güvenlik sağlanmadan
yapılandırılırsa, hedef organizasyon hakkında bilgiler elde
edilebilmektedir.
Hedef Ağ doğru
biçimde yapılandırılmış ise, ideal durumda ağ ile ilgili hiçbir gereksiz bilgi
dışarı sızmayacaktır. (Gereksiz Bilgi burada hedef ağ yapısının doğru ve
verimli işlemesi için gerekli olmayan bilgi anlamında kullanılmıştır.)
“Genel Bilgi
Toplama” genelde güvenlik değerlendirilmelerinde tamamen gözden kaçırılan bir
aşamadır, ya da en iyi ihtimalle, tutarsız ve yetersiz şekilde yürütülen bir
aşama olarak gerçekleştirilmektedir. Firma, güvenlik taramasının bu en temel
adımına gerekli önemi göstermektedir.
Kurum
tarafından kullanılan IP adresleri aralığı üzerinde, belirli bir dizi TCP, UDP
ve ICMP paketleri göndererek aktif durumdaki cihazların tespit edilmesi bu
adımda gerçekleştirilir.
Topolojik Ağ Keşfi: Hedef ağın topolojisinin ortaya çıkarılması aşamasıdır.Firma
danışmanları tüm ağı “traceroute” işlemine tabi tutarak belirli IP adreslerine
giden belirli yolların tümünü ortaya çıkartır ve ağ yapısındaki topolojik
gariplikleri tespit eder. Bu noktada Firma ayrıca şirketin güvendiği bir
ortağına ait bir aletin, şirketin dahili ağına alternatif bir giriş olanağı
sağlayıp sağlamadığını kontrol eder.
Ping Sorgulaması (Ping Sweeping): Ağ üzerinde uygulanan bu ping yöntemi
ile ağa ait hangi sistemlerin aktif olduğunu, hangilerinden yanıt
alınabildiğinin belirlenmesi ve bu şekilde ağın bütün bir haritasının
oluşturulması sağlanır.
ICMP Sorgulamaları:Firma danışmaları hedef sistemlere ICMP
paketleri göndererek “network mask” ve “timestamp” ile ilgili önemli bilgileri
elde edebilmektedir.
Tüm sistemler doğru olarak
yapılandırılmış ise, çok az sayıda araç ağın dışından açık olarak
görünebilmelidir. Ayrıca, sistemin verimli çalışmasına katkıda bulunmayan tüm
servisler ve özellikler kapatılmış olmalıdır.
FIRMA
danışmanları, firewall dahil olmak üzere, tam bir TCP ve UDP port taraması
yapacaktır. Aktif durumda olduğu tespit edilen cihazların tüm TCP ve UDP
portları denenerek bu portlar üzerinde çalışan servisler belirlenir. Bu
bilgiler daha sonra sistem açıklarının değerlendirilmesi için kullanılır.
Güvenlik
duvarı, IDS/IPS, VPN ve kullanılan diğer güvenlik teknolojilerinin keşfini
kapsayan bir adımdır. Bu işlem doğal olarak loglarınızda yer alacaktır. Sisteme
sızmak için kullanılabilecek kural listeleri, işletim sistemi ve versiyonu
bilgileri, kullanılabilecek güvenlik açıkları, VPN sisteminde kullanılan key,
kriptolama vs. gibi bilgiler edinilir. Yapılandırma hataları analizi ve tünel analizi
yapılır.
Bu aşamada sistem
bütünlüğüne zarar vermeyecek şekilde tasarlanmış belirli TCP paketleriyle
yaratılan taleplere sistemlerin verdiği cevaplara dayanarak, her bir aktif
sunucu üzerinde çalışan işletim sistemi tespit edilir. Sunucular üzerinde
çalıştırılan işletim sistemleri, çalışan servisler, işletim sistemi açıkları,
kullanılan uygulama açıkları, servis paketi ve yama durumları değerlendirilir.
Risk sınıflandırması yapılır.
Bu adım
DMZ’de bulunan sunucuların analizidir. Güvenlik zayıflıkları tek tek test
edilir. Servislerin arkasındaki uygulamaların testi yapılır. İşletim sistemleri
test edilir.
Birçok uygulama
kendine has ve firma spesifik olması nedeniyle bu uygulamalar için keşfedilip
yayınlanmış açıklar bulunmayabilir.Firma uzmanları manuel yöntemlerle bu
uygulamaları olabilecek temel güvenlik problemlerine karşı test ederek daha
önce fark edilmemiş güvenlik açıklarını ortaya koymaya çalışırlar. Çalışmanın
bu adımı belirlenmiş adam-saat süresi ile sınırlıdır. Söz konusu firma spesifik
sistemlerinizin en kapsamlı şekilde test edilmesine ilişkin servisler ayrıca
fiyatlandırılabilir.
Erişilebilen tüm
sunucu, yönlendirici, firewall ve web sunucuları, istemcilerin üzerinde
bulunabilecek güvenlik problemleri tespit edilir. Bu son aşamada, önceki
aşamalarda elde edilmiş tüm bilgiler toplanarak sınıflandırılır ve
haritalandırılır. Çeşitli zayıflıklar, riski ve tahmin edilen saldırı yolları
göz önüne alınarak önem derecelerine göre sıralanılır. Savunmasız noktalar
gerekli saldırı kodları kullanılarak test edilirler. Tüm önemli ağ trafiği
bilgileri, çeşitli ağ takip araçları kullanılarak (sniffer) gözlemlenir ve
güvenlik sisteminin kendisiyle ilgili önemli bilgilerin tespit edilmesi
sağlanır.
Bir önceki adımda
tespit edilen ilgili açıklar bilgisinden hareketle, uzmanlarımız sistem
konfigürasyonları, kullanıcı hesapları, ağ servisleri ve uygulamaları üzerinde
olabilecek güvenlik açıklarının bulunup bulunmadığını çeşitli araç, program ve Firma
uzmanlarınca yazılmış kodlar aracılığı ile kontrol ederler. Tespit edilen
güvenlik açıkları, taşıdıkları riskler değerlendirilir ve önemine göre
sıralanır.
Bir
önceki adımda tespit edilen bulguları, uzmanlarca tek tek değerlendirip el
manuel olarak ile denenerek, bu güvenlik açıklarının gerçekte var olup olmadıkları
test edilir.
Yukarıdaki bütün
işlemler tamamlandıktan sonra, güvenlik uzmanları tespit edilen bulgular ve
güvenlik açıklarından hareketle her bir güvenlik açığı için çözüm önerileri
oluşturur ve raporlar. Sonuçta size sunulan raporda sonuçların genel olarak
özetlendiği bir yönetici özeti bölümü vardır. Bu yönetici özetinde, tespit
edilmiş güvenlik açıklarının toplamı ve tek tek çalışır durumdaki cihaz
bazındaki dağılımlarına ait grafikler bulunur. Raporun takip eden sayfaları
tespit edilmiş güvenlik açıklarına ait açıklamalar, bu açıkların risk
öncelikleri, kapatılmasına yönelik öneriler ve söz konusu açıkla ilgili
referanslar bulunur.
Yapılan Değerlendirmenin son aşaması,
yapılan işle ilgili her türlü detayın yer aldığı, Son Rapor’dur. Sistem üzerindeki başarılı ya da başarısız tüm
araştırmaları ve yapılan saldırıları içerecek şekilde tüm önemli bulgular
raporda yer alacaktır. Bu rapor sayesinde güvenlik taramasına dahil ettiğiniz
sistemlerin güçlü ve zayıf olduğu noktaları takdir edebilecektir.
Değerlendirme
neticesinde elde edilen bulgular ışığında Firma, Kurum sistemlerin
güvenilirliğinin arttırılması konusunda kesin açıklamalar ve önerilerde
bulunacaktır.
Bu değerlendirme aşamaları sırasında
yüksek güvenlik riski taşıyan herhangi bir noktayla karşılaşıldığı takdirde,
Kurum için gerekli önlemlerin hızlı bir şekilde alınabilmesi açısından acil
olarak uyarılacaktır.
Müşteri
kritik sunucuları, genel anlamda elektronik iletişim güvenliği konusunda,
bilinen güvenlik açıkları doğrultusunda çeşitli araçlarla incelenerek, yapılan
çalışma sonuçları bir rapor olarak sunulacaktır. Raporun ışığında Müşteri’nin
elektronik güvenlik açıklarının hangi seviyede olduğu, açıklarını kapatması
için neler yapması gerektiği belirlenebilecektir. Çalışma kapsamında elektronik
dünyanın güncel açıklarına göre;
•
Şifre
politikaları
•
Kolay
tahmin edilebilir şifrelerin belirlenmesi
•
Sunucuların
açık sistem kapıları (port)
•
Dosya
sistemi güvenliği
•
Paylaşımdaki
dizinlerin belirlenmesi
•
Sunuculardaki
yama açıkları
•
İşletim
sistemi açıkları
•
İstenmeyen
ya da bilinmeyen erişim şekilleri
•
Kullanılan
yazılımlardaki bilinen elektronik açıklar
gibi
çeşitli konularda taramalar yapılacaktır.
Ayrıca
ağa bağlanabilen herhangi bir bilgisayar ile iletişim ağı hakkında bilgi
toplanacak ve iletişim altyapısındaki güvenliğin Müşteri’nin çalışma
hedeflerine uygunluğu incelenecektir. Kullanılan güvenlik önlemlerinin
çalıştığının görülmesi durumunda Bilgi Sistemleri yetkililerinin bilgileri
dahilinde sistemi zorlamaya yönelik adımlar denenebilecektir.
Açıkları
taranan sistemlerde bulunan elektronik açıklar, açıkların tanımı, ne tür
ihlallere sebep olabileceği ve ne şekilde kapatılacağı bilgilerini içerecek
şekilde ve sistemler bazında detaylı bir rapor olarak sunulacaktır.
WEB UYGULAMASI DENETİMİ
METODOLOJİSİ
Yüklenici’nin
ileri seviye web uygulaması denetim metodolojisi ile web uygulamanız son
tekniklerle değerlendirilmeye tabi tutulur. Yüklenici danışmanları öncelikle
web uygulamanızın fonksiyonalitesi ve risk profilini çıkartır. Bu temelden yola
çıkan değerlendirme, uygulamanızın güvenlik açıklarının tespiti için tam kapsamlı
bir çalışmadır.
Yüklenici
tarafından yapılan web uygulamaları denetimi; manuel olarak aşağıda anlatılan
yöntemlerin uygulanması ve daha sonraki süreçte otomatik/yarı-otomatik tarama
programları ile uygulamanın denetlenmesini içeren iki kademeli bir çalışmadan
oluşmaktadır. Yüklenici uzmanları denetim sırasında iki farklı şapka
takarlar:
•
Yetkisiz
kullanıcı: Web uygulamasına giriş hakkı sağlayamamış saldırganlar tarafından
oluşturulabilecek riskleri tespit eder.
•
Yetkili
Kullanıcı: Web uygulamasına giriş hakkı olan, ancak verilen hakları arttırıp
zararlı faaliyetlere girişebilecek kullanıcıların oluşturabilecekleri riskleri
tespit eder. Uygulama Denetimi
çalışmamız aşağıdakileri kapsar:
•
Web
uygulamanızın fonksiyonel incelemesi,
•
Web
uygulamanızın güvenlik açıkları ve konfigürasyon hatalarının kapsamlı tespiti,
•
Ortak
zaafiyetleri ve konfigürasyon hatalarının tespiti için web uygulamanızı
doğrudan destekleyen ağ altyapısının güvenlik denetimi,
•
Güvenlik
açıklarınızdan kurtulmanız veya etkilerini hafifletmeniz için tavsiyeleri
içeren detaylı bir rapor.
Bu
çalışma 1 adet uygulama için yapılacaktır.
Metodoloji
Yapılandırma Açıkları
Taraması ve Haritalama
Yapılandırm
Açıkları Taraması, lojik bir yapı çerçevesinde uygulama sunucusuna yapılan HTTP
isteklerinin ve bu isteklere gelen cevapların yorumlanmasından oluşmaktadır.
Manuel taramada öncelikli olarak uygulama yapısı analiz edilerek, sunucunun
üzerinde bulunduğu yapı ortaya çıkarılır.
Uygulama
Haritalama: Bu çalışma içerisinde siteniz / uygulamanız içerisindeki bilinen ve
bilinmeyen bütün bağlantılar haritalanır ve daha sonraki güvenlik kontrolleri
için kullanılır.
Dizin
Listeleme: Uygulama sunucusu üzerinde tespit edilebilen veya ihtimal gereği
kontrol edilerek tespit edilen dizinler tespit edilerek listelenir. Böylece
hedef uygulamanın yapısı tama yakın bir şekilde anlaşılmaya çalışılır.
Gizli
Web Dizinleri: Uygulama içerisinde bulunan gizli veya yorum satırı haline
getirilmiş dizin adresleri tespit edilerek, genel kullanıma açık olmayan sunucu
adresleri tespit edilir.
Yedek
Dizin Kontrolleri: Yedek ve kod dosyalarının genellikle saklandığı dizinlerin
sisteminizde bulunup bulunmadığı kontrol edilir. Sistem yöneticileri ve
uygulama geliştiriciler genellikle sistemin yedek kopyalarını sunucu üzerinde
başka bir adreste daha bulundurmayı tercih ederler. Bu kontrol saldırganların
yedeklerin bulunduğu dizinlerden bu dosyaların alınıp alınamayacağının kontrol
edilmesini içerir.
Otomatize Araçlar ile Güvenlik Açığı
Taraması
Otomatize
güvenlik açığı tarama yazılımları, web uygulamalarında bulunan yayınlanmış
güvenlik açıkları ve bilinen saldırı yöntemlerini kullanılarak güvenlik açığı
taramakta ve raporlamaktadır. Çeşitli programlama dilleri ile çalışabilmeleri,
yayınlanmış güvenlik açıklarını takip edebilmeleri, farklı web teknolojilerine
verdikleri destek ve destekledikleri doğrulama yöntemleri doğrultusunda verimli
olarak güvenlik açıklarını saptamaktadırlar. Ancak özelliklerinin yetersiz
olduğu durumlar ya da web uygulamasının standart dışı olduğu durumlarda
sağladıkları verim kısıtlıdır. Bu kısıtlamalardan kurtulmak ve doğru sonuca
yaklaşabilmek amacıyla, 5’in üzerinde yazılım tarama aracı kullanılmaktadır.
Bilinen Saldırı Yöntemleri
ile Güvenlik Açığı Taraması
Çıkarılan
yapı üzerine, aşağıda belirtilen uygulama zaafiyetleri çerçevesinde sayısız
test, manuel olarak bütün parametrelere uygulanır.
1) Doğrulanmamış Girdi Kabul Edilmesi
Teyid
edilmemiş girdi yöntemi ile, sunucu üzerine gönderilen URL parametrik
değerlerinin değiştirilmesi sonucu, sunucu tarafında izinsiz erişim
sağlanabilir ve çalışan web servisinin engellenebilir. Bütün URL parametrik
değerleri ilgili güvenlik açığı için Yüklenici uzmanları tarafından kontrol
edilir.
2) Çapraz Site Komut Çalıştırması
XSS
olarak da tanımlanan bu web uygulaması açığı Teyid Edilmemiş Girdi yöntemi
içeriğinde bulunan bir uygulama açığı türüdür. Web uygulamaları bir saldırıyı
son kullanıcıya browser’ı vasıtasıyla iletmek için bir araç olarak
kullanılabilir. Başarılı bir saldırgan, son kullanıcının oturum izini afişe
edebilir, yerel makineye saldırabilir veya kullanıcıyı kandırmak için içeriği
taklit edebilir. Son kullanıcı odaklı olan bu saldırı türünde uygulama sunucusu
araç olarak kullanılır. Yüklenici hem yetkisiz kullanıcısı şapkasıyla hem de
yetkili bir kullanıcı olarak uygulama kodlarını inceler, javascript, vbscript,
perlscript gibi dilleri için bulunan açıklar, çözümleri ile birlikte raporlanır.
3) Bellek Taşması
Web
uygulamaları üzerinde bellek taşması, uygulamanın kullandığı herhangi bir
programlama dili kütüphanesinde bulunan bir açıktan kaynaklanan ve sunucu
üzerine gönderilen değişkenlerle suistimal edilebilen bir açıktır. Genelde web
uygulamaları üzerinde Bellek Taşması bulunduğu takdirde sunucu tarafında http
bağlantısı direk kesilebildiği gibi sunucu üzerinde kod çalıştırılması da
mümkündür. Yüklenici tarafından web uygulamaları için kullanılan kütüphaneler
üzerinde oluşmuş hata raporları gözden geçirilerek uygulama üzerinde kontrol
yapıldığı gibi uygulama kodları üzerinde parametre değerlerine bellek taşması
uygulanır. Tespit edilen bellek taşmaları detaylı bilgi ve çözümleri ile rapor
edilir.
4) Hatalı Giriş Kontrolü
Kullanıcılar
için site üzerinde yapılandırılmış olan erişim kontrolü sayesinde farklı
kullanıcılar farklı kategorilerde erişim sağlayabilmektedirler. Aynı şekilde
sunucu üzerinde kullanıcıların fark etmediği dizin erişim yetkileri
bulunabilmektedir. Var olan uygulama üzerinde standart kullanıcı hesabı ile
erişim denetimi kontrol edilir. Kırılmış Giriş Kontrolü için, kullanıcı ID
bilgisinin uygulama üzerinde güvenilirliği testi, “Path Traversal” testi ve “Dosya Erişimi” testi yapılarak
edinilen bulgular rapor edilir.
5) Hatalı Doğrulama ve Oturum Yönetimi
Web
Uygulaması üzerindeki oturum kontrolü ve buna bağlı oluşan kimlik doğrulaması
üzerinde saptanan açıklar, kullanıcı bazlı bilgi çalınması ve imitasyon riski
taşıyabilmektedir. Öncelikli olarak uygulamanın oturum yönetimi biçimi
saptanıp, oturum id değeri çalınma riski tespit edilip oturum değerinin
şifreleme algoritması kontrolü yapılır. Bundan sonraki süreçte kullanıcı
bilgileri ile ilgili verilerin POST / GET üzerindeki dönme değerleri
incelenerek site güvenilirliği gözden geçirilir.
6) Enjeksiyon Kusurları
Enjeksiyon
kusurları, web uygulamasında çalıştırılan kod üzerinden diğer uygulamalar üzerine izinsiz geçiş hakkına sebebiyet
verebilmektedir. SQL Injection ve XPath Injection olarak tanımlanan ve bu tür
içinde en çok görülen açık tanımları olup, sistem üzerinde izinsiz veri
çalınması ve okunması riski taşıyabilmektedir. Bunun dışında web uygulamasını
kullanarak sistem üzerinde komut çalıştırma da enjeksiyon kusurları arasında
yer almaktadır. Yüklenici tarafından SQL ve XPath injection testi, hem normal
parametre değeri çalıştırma kontrolü; hemde “blind” olarak tabir edilen SQL
sistem yapısı üzerinden sorgu kontrolünü içermektedir. Ayrıca programlama
hatasından kaynaklanan herhangi bir komut çalıştırma belirlendiği takdirde
kullanılan programlama dili üzerinde
açığın kaynağı belirlenip gerekli destek verilmektedir.
7) Uygunsuz Hata İşleme
Web
uygulamaları üzerinde oluşan hata çıktıları sistemin çalışması hakkında detaylı
bilgiler verebilmektedir.Ayrıca saptanan hata mesajları kendi türüne göre
sistem üzerinde yavaşlama ve aynı hata mesajına yoğun istekler yapıldığında
sistemin çökmesine sebebiyet verebilmektedir. Yüklenici tarafından hata mesajı
oluşmasına sebebiyet veren parametreler, uygulama üzerinde belirlenerek rapor
edilir.
8) Güvensiz Saklama
Uygulama
üzerinde barındırılan verilerin saklanma biçimi, web uygulamalarında önemli bir
risk taşımaktadır.Yapılan testlerde daha çok algoritma eksiklikleri, kritik
verinin şifrelenmemiş olması , kullanıcı şifrelerinin, anahtarların ve
sertifikaların güvensiz yerlerde saklanmış olması güvenlik riski taşımaktadır.
Yüklenici tarafından bahsedilenler üzerinde, kontroller ve testler yapılıp
herhangi bir açık bulunduğu takdirde raporda sunulmaktadır.
9) Güvensiz Yönetim Arabirimi
Web
Sunucusu üzerindeki sistem konfigürasyon ayarları kontrol edilir. Örnek olarak
SSL ayarları, güvenlik yamaları, uygulama entegrasyonu, stabilite ayarları ve
web sunucusu ile ilgili sistem hardening ve performans ayarları denetlenir.
Yayınlanmamış Güvenlik
Açıkları Özel Taraması
Birçok
web temelli uygulama kuruma özel olduğu için güvenlik açıkları da sadece o
kuruma özel olmaktadır, bu nedenle otomatize güvenlik açığı tarama yazılımları
ile saptanamayan güvenlik açıkları özel test yöntemleri Yüklenici danışmanları
tarafından geliştirilen araçlar ve açık kaynaklı “proxy” yazılımları
kullanılarak denetlenmekte, böylece bilinmeyen güvenlik açıklarına yönelik
testler uygulanmaktadır.
Yapılandırma
Hataları Analizi: Birçok uygulama ve işletim sistemi ön tanımlı kurulumları
değiştirilmeden kullanılmaktadır. Bu nedenle söz konusu sistemlerde
kullanılmadığı halde yüklü olan bileşenler, ön tanımlı kullanıcı hesapları veya
erişimler nedeniyle sistemlerin ele geçirilmesi mümkün olmaktadır. Bu
doğrultuda, saptanan sistemlerin yapılandırmaları özel olarak incelenmekte ve
yapılandırmadan kaynaklanan güvenlik açıkları analiz edilmektedir.
Programlama
Hataları Analizi: Uygulamaların geliştiricilerinin güvenlikten çok işlevselliğe
önem vermesi sonucu oluşan, çoğunlukla kullanıcıdan gelen verinin kontrol
edilmemesi, oturum takip sorunları, güvensiz veri depolama kaynağı kullanımı
veya hatalı bellek yönetiminden kaynaklanan programlama hataları sonucunda
hedef sistemler ele geçirilebilmektedir. Denetim sürecinde ilgili programlama
hatalarına yönelik saldırılar saptanan tüm uygulamalarda farklı biçimlerde
uygulanmakta ve sonuçlarının analiz edilmektedir.
Saptanan Güvenlik
Açıklarının Değerlendirilmesi
Erişilebilen
tüm sunucu, yönlendirici, güvenlik teknolojileri ve istemcilerin üzerinde
bulunabilecek güvenlik açıkları tespit edilir. Bu son aşamada, önceki
aşamalarda elde edilmiş tüm bilgiler toplanarak sınıflandırılır ve
haritalandırılır. Çeşitli zayıflıklar, riski ve tahmin edilen saldırı yolları
göz önüne alınarak önem derecelerine göre sıralanılır. Tespit edilen güvenlik
açıkları, taşıdıkları riskler değerlendirilir ve önemine göre sıralanır.
E-posta Servisi Güvenlik Analizi
E-posta
servislerine özel testler yapılarak yanlış konfigürasyonlar tespit edilecek,
kurum için oluşan riskler ortaya çıkarılacaktır;
Sosyal Mühendislik Testleri
Sosyal
Mühendislik testleri kapsamında aşağıdaki işlemler yapılacaktır. Tarafımıza
iletilecek kişi bilgileri hedef alınabileceği gibi açık kaynaklardan elde
edilinebilecek kişiler de (talep edildiği takdirde) hedef alınabilecektir.
Dağıtık Servis Dışı
Bırakma Testleri
Teknik
bir kaynaktan ve gerektiği takdirde çok kaynaktan (dağıtık) yapılacak servis
dışı bırakma testleri ile hem bant genişliği test edilecek, hem de yazılımsal
zafiyetlerin servislerin hizmet vermesine (availability) engel oluşturacağı
noktalar belirlenecektir.
Çözüm Geliştirme ve Rapor
Hazırlığı
Yukarıdaki
bütün işlemler tamamlandıktan sonra, güvenlik uzmanlarımız tespit edilen
bulgular ve güvenlik açıklarından hareketle her bir güvenlik açığı için çözüm
önerileri oluşturur ve raporlar. Sonuçta size sunulan raporda, sonuçların genel
olarak özetlendiği bir yönetici özeti bölümü vardır. Bu yönetici özetinde,
tespit edilmiş güvenlik açıklarının toplamı ve tek tek çalışır durumdaki cihaz
bazındaki dağılımlarına ait grafikler bulunur. Raporun takip eden sayfaları
tespit edilmiş güvenlik açıklarına ait açıklamalar, bu açıkların risk
öncelikleri, kapatılmasına yönelik öneriler ve söz konusu açıkla ilgili
referanslar bulunur. Yapılan Değerlendirmenin son aşaması, yapılan işle ilgili
her türlü detayın yer aldığı, Son Rapor’dur. Sistem üzerindeki başarılı ya da
başarısız tüm araştırmaları ve yapılan saldırıları içerecek şekilde tüm önemli
bulgular raporda yer alacaktır. Bu rapor sayesinde güvenlik taramasına dahil
ettiğiniz sistemlerin güçlü ve zayıf olduğu noktaları takdir
edebilecektir. Değerlendirme neticesinde
elde edilen bulgular ışığında Yüklenici, kurumun sistemlerinin güvenilirliğinin
arttırılması konusunda kesin açıklamalar ve önerilerde bulunacaktır. Bu değerlendirme
aşamaları sırasında yüksek güvenlik riski taşıyan herhangi bir noktayla
karşılaşıldığı takdirde, kurum gerekli önlemlerin hızlı bir şekilde
alınabilmesi açısından acil olarak uyarılacaktır.
Dışarıdan
yapılacak tarama hizmetinde Kurulun kullandığı internete açık web, uygulama
veya servisleri ile bu sistemlerin çalıştığı sunucuların güvenlik sorunları ve
bu sorunların oluşturabileceği tehditler tespit edilecektir.
Dış
tarama sonucunda sistemler üzerinde bulunan Bilginin gizliliği, bütünlüğü ve
erişilebilirliği tespit edilecek olup bununla ilgili riskler ortaya
çıkarılacaktır.
Yapılacak
olan çalışmanın genel başlıkları şu şekildedir;
1. Erişim
Kontrolü (Authentication ) Mekanizmaları : Kullanılan uygulamalara ve işletim sistemlerine ilişkin
erişim kontrolü mekanizmalarının ve açıklarının belirlenmesi ve tavsiyeleri
kapsayacaktır.
2. Port
Taraması : İnternet’e
hangi portların açık olduğunu belirlemeye yönelik tarama çalışmasıdır.
3. İçerik
Güvenliği : Anti-Virüs
yazılımları, sonucu, ağ geçidi (gateway), SMTP gateway gibi Kurul bilişim
sisteminin giriş noktaları üzerindeki önlemler, güncellemeler ve eksiklikler
raporlanacaktır.
4. Servis,
İşletim Sistemi ve Uygulama Açıkları :
Sunucular üzerinde çalıştırılan gereksiz servisler, işletim sistemi açıkları,
kullanılan uygulama açıkları, service pack ve patch durumları
değerlendirilecektir. Risk sınıflandırılması yapılacaktır.
5. Sınır
Kontrolü : Router ve
firewall kural tabanı, erişim mekanizmaları, filtreler, Denial of Service (DoS)
ataklarına karşı önlemler, DNS güvenliği irdelenerek ne kadar bilgi
alınabildiği test edilecektir.
6. Sınır
Savunma : Router erişim
listerleri (Access list), güvenlik duvarı kural tabanları, DNS patch’leri ve
konfigürasyonları ile ilgili detayları tavsiyeler verilecektir.
7. Intrusion
Dedection : İstenmeyen
trafiklerin izlenmesi için önerilen intrusion dedection sistemlerine yönelik
bilgiler ve tavsiyeler verilecektir.
8. İçerik
Savunma : Anti-vandal,
anti-virüs vb. sistemler hakkında bilgiler ve tavsiyeler verilecektir.
Ayrıca
tarama özelinde yapılacak olan çalışmalar ise:
Dış Tarama Hizmeti
kapsamında;
1. Web Uygulamasına özel güvenlik
açıklarının kontrolü : Web tabanlı yazılımlara giriş yaparak programlamadan
sistem konfigürasyonundan, web servislerinden kaynaklanabilecek açıklar
nedeniyle sisteme ne derece ve nasıl kötüye kullanılabileceğinin, yazılım
kodları incelenmeden kontrol edilesi.
2. Kayıt veri tabanı araştırması ve
kontrolleri,
3. Kullanılan IP adreslerinin ve etki
alanlarının bulunması,
4. Doğruluk için ilgili kişilerin
kontrolü,
5. Başka kurumlara ait benzer etkin alan
sistemlerinin araştırılması,
6. İnternet yönlendirme kontrolleri :
Kullanılmakta olan tüm IP adreslerinin doğru noktalara yönlendirilip
yönlendirilmediğinin kontrolü ve hiçbirinin başka noktalara yönlendirilmemiş
olduğundan emin olunması,
7. DNS araştırması ve kontrolleri : İlan
edilmiş DNS bilgilerinin alınması ve Kurul İnternet sunucularının belirlenmesi,
DNS sunucu konfigürasyonlarının uygunluk kontrolü,
8. İnternet Yönlendiricisinin kontrolü
:
a. Kurulun internet yönlendiricisinden
hangi ağ bilgilerinin alınabileceğinin belirlenmesi
b. Yönlendirme açıklarının kontrolü,
c. Paket filtreleme açıklarının
kontrolü,
d. Yönlendirici tarafından verilen
hizmetlerin belirlenmesi ve hassas hizmetlerin
kontrolü,
e. Anabilgisayar tabanlı yönlendiriciler
için işletim sistemi açıklarının kontrolü
9. Firewall kontrolleri
a. Proxy servisleri kontrolü
b. Yönlendirme açıklarının kontrolü
c. Paket filtreleme açıklarının
kontrolü
d. İşletim sistemi açıklarının
kontrolü
10. İnternet sunucu
kontrolleri(eximbank.com.tr ve secure.eximbank.com.tr alanları için DNS
sunucusu, Web sunucusu elektronik posta sunucusu, FP sunucusu v.b)
a. İnternet sunucuları üzerindeki
erişebilir servislerin belirlenmesi ve bunların açıklarının
kontrolü
b. İşletim sistemi açıklarının kontrolü
c. Uygulamaya özl açıların kontrolü
d. Halka açık elektronik posta ve haber
hizmetlerinin spam'e yol açıp açmadığının
kontrolü
11. Görülebilir sunucu olmayan ana
bilgisayarların (host) taranması (Visible non-server host scan)
a. İnternet üzerinden görülebilen KURUL'un
ilan edilmiş internet sunucusu dışındaki ağ
makinelerinin
kontrolü
b. Söz konusu makineler üzerindeki
erişilebilir servislerin belirlenmesi
c. İşletim sistemi açıklarının
kontrolü
Comments
Post a Comment