Sermaye Piyasası Kurulunun, 5 Ocak 2018 tarihinde, 30292 numaralı Resmi Gazetede yayınlanan Bilgi Sistemleri Yönetimi Tebliğinde kurum ve kuruluşların bu tebliğ kapsamında sızma testi gerçekleştirme usul ve esasları belirlenmiştir. Bu kapsamda BTYÖN, TSE Onaylı Sızma Testi Firması olarak uzman ekibimizle, ilgili tebliğde yayınlanan usullere uygun şekilde ihtiyacınız olan sızma testini gerçekleştirmekteyiz.
Sızma testinin gerçekleştirileceği asgari erişim noktaları aşağıda tanımlanmaktadır. Bu noktalardan sisteme erişildikten sonra, sızma testi gerçekleştirilir.
İnternet: Kurum, Kuruluş ve Ortaklıkların internet üzerinden erişilebilen tüm sunucu ve servislerine İnternet üzerinden erişilerek sızma testi gerçekleştirilir ve devamında ve detaylı sızma testi uygulanır.
Kurum, Kuruluş ve Ortaklıklar iç ağı: Kurum, Kuruluş ve Ortaklıkların iç ağında yer alan ve test kapsamında ele alınan sunuculara Kurum, Kuruluş ve Ortaklıklar iç ağı üzerinden erişilerek sızma testi gerçekleştirilir. Ağ ve ağ trafiği üzerinde gerçekleştirilecek testler için de bu ağ kullanılır ve testi gerçekleştirecek şahıslara kullanımı en yaygın olan çalışan bilgisayarı profilinde bilgisayarlar sağlanır.
Sızma testinin sağlıklı bir şekilde gerçekleştirilebilmesi ve testlerin gerçek hayata uygun olması için, yukarıda tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testi gerçekleştirilir.
Anonim Kullanıcı Profili: İnternet üzerinden, Kurum, Kuruluş ve Ortaklıkların web servislerine erişebilen ancak web uygulamalarına giriş yetkilerine sahip olmayan kullanıcıyı temsil eder. Kurum, Kuruluş ve Ortaklıklara ait web uygulamalarının üyesi olmayan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.
Kurum, Kuruluş ve Ortaklıklar Müşterisi Profili: İnternet üzerinden, Kurum, Kuruluş ve Ortaklıklar’ın web servislerine erişebilen ve web uygulamalarına giriş yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. İnternet üzerinde Kurum, Kuruluş ve Ortaklıklara ait web uygulamalarının üyesi olan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.
Kurum, Kuruluş ve Ortaklıklar çalışanı profili: Kurum, Kuruluş ve Ortaklıklar personelinin çalışma ortamını kullanarak sahip olduğu yetkiler ile sistemde oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır. Kurum, Kuruluş ve Ortaklıklar çalışanı profili ile gerçekleştirilecek testlerde, Kurum, Kuruluş ve Ortaklıklarda çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici(local admin) yetkisine sahip çalışan profilleri ile de sızma testi gerçekleştirilir. Kurum, Kuruluş ve Ortaklıklar çalışanı profili ile yapılan testlerde, testi yapan kişi/kuruluşa Kurum, Kuruluş ve Ortaklıklar tarafından tanımlanan erişim yetkileri ve verilen izinler raporda açıkça ifade edilmelidir.
Diğer Kullanıcı Profilleri: Sızma testinin, yukarıda tanımlanan diğer dört kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleştirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilir.
Sızma testi aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır.
Sistem Tespiti: Sunucu veya aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır.
Servis tespiti: Kurum, Kuruluş ve Ortaklıklar bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleştirildiği ve dış dünyaya/genel erişime açık olan portların sunduğu servislerin tespit edilmeye çalışıldığı adımdır.
Açıklık taraması/araştırması: Kurum, Kuruluş ve Ortaklıkların bileşenleri ve bu bileşenlerin sunduğu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için açıklık veritabanları gibi kaynaklar kullanılarak bu açıklıkların bileşenlere ve bileşenlerin etkileşimde olduğu sistemlere güvenlik açısından etkileri araştırılır.
İnternet üzerinden gerçekleştirilecek temel sızma testi: Kurum, Kuruluş ve Ortaklıklar ağından bağımsız bir lokasyondan, Kurum, Kuruluş ve Ortaklıklar’ın internet üzerinde sahip olduğu IP ağı taranarak sistem tespiti, servis tespiti ve açıklık taraması adımları gerçekleştirilir.
Kurum, Kuruluş ve Ortaklıklar iç ağından gerçekleştirilecek sızma testi: Kurum, Kuruluş ve Ortaklıkların iç ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanır:• Kurum yerel ağ haritası tespiti• Belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgi kaçırma testinin gerçekleştirilmesi• Yerel alan ağı içerisinde zafiyet taraması yapılması• Kurum yerel ağında araya girme teknikleri ile hassasiyet derecesi yüksek bilgilerin elde edilmeye çalışılması• Elde edilen bilgiler ışığında kullanıcı bilgisayarları, sunucu sistemleri ve aktif cihazlara yönelik ele geçirme saldırılarının gerçekleştirilmesi• Ele geçirilen sunucu ve kullanıcı bilgisayarları üzerinden daha kritik bilgilere ulaşılmaya çalışılmasıSermaye Piyasası Kurulunun Resmi Gazetede yayınlamış olduğu ilgili tebliğe aşağıdaki bağlantı üzerinden de ulaşabilirsiniz; https://www.resmigazete.gov.tr/eskiler/2018/01/20180105-9-1.pdf
ISO 27001 Bilgi Güvenliği Yönetim Sistemi şartlarına hangi seviyede uygunluk sağlıyorsunuz?
Bilgi Güvenliği Yönetim Sistemi'nizin iç denetimini ISO 27001 belgesine sahip uzmanlarımız ile gerçekleştirebiliriz.
Bilgi teknolojileri güvenliği ile ilgili yapısal, teknik, organizasyonel ve süreç kaynaklı tüm eksiklerinizi raporluyoruz.