Siber Güvenlik, farklı sektörlerden çok çeşitli kuruluşlara güvenlik test hizmetleri sunmaktadır. Bu blog yazımızda kuruluşların talep ettiği test hizmetlerini ve bu test hizmetlerinin sonuçlarını paylaşmaya çalışacağız. Güvenlik test hizmeti, güvenlik testlerinin üç temel ilkesi olan güvenlik, bütünlük ve erişilebilirlik için bilgi sisteminin siber saldırganlara karşı test edildiği, üründen bağımsız bilgi güvenliği ve mevcut güvenlik açıklarının keşfedildiği hizmetler bütünüdür.
Bu kapsamda Siber Güvenlik, İnternet, LAN, Web Uygulamaları, Kablosuz Ağlar, Sosyal Mühendislik, DDoS, Mobil Uygulamalar, Analitik yazılım kaynak kodu analizi, sürekli güvenlik açığı analizi, kötü niyetli trafik analizi gibi konularda güvenlik test hizmetleri vermektedir.
Finans, kamu, ulaşım, e-ticaret, enerji ve medya gibi farklı sektörlerden kurumların talebi üzerine ilgili çalışmalar hazırlanmıştır. Kuruluşların talep ettiği güvenlik test hizmetleri ile ilgili detaya girecek olursak;
İnternet Güvenlik Testi: İnternet üzerinden erişilen kuruluşlardan gelen verilerin test edilmesi.
LAN Güvenlik Testi: Kuruluşların LAN’ları üzerinden erişilen verilerini denetleme.
Web ve mobil uygulama güvenlik testi: Web uygulamaları aracılığıyla erişilen kuruluşların verilerinin denetlenmesi.
Web Servisleri / API Güvenlik Testi: Kuruluşunuzun web servislerindeki olası hatalar için verileri test edin.
Kablosuz Güvenlik Testi: Kurumun kablosuz ağ erişim kontrollerinden gelen verilerin denetlenmesi, konfigürasyon ve kullanıcı davranışı değerlendirmesi, şifre kırma testi, eriştikleri kablosuz ağ üzerinden kurumsal ağ üzerinde gerçekleştirilen olası saldırı testleri.
Bu testlerden elde edilen sonuçlar, önem derecelerine göre Acil, Kritik, Yüksek ve Orta sonuçlar olarak etiketlenir. İlgili denemelerden elde edilen sonuçlar şu şekilde etiketlendi: %3 acil, %16 kritik, %59 yüksek ve %16 orta orta. Yapılan testleri alt konu perspektifinden ele alırsak;
İnternet Güvenlik Testi: %14 kritik Kritik Önem Derecesi, Yüksek %43 ve Orta %43,
Web Uygulaması Güvenlik Testi: %14 Acil, %17 Kritik, %33 Yüksek Önem ve %36 Orta Sonuç,
Web servis güvenlik testi: %66 yüksek ve %34 orta sonuçlar,
LAN güvenlik Testi: %5 kritik, yüksek ve %1 orta sonuçlar,
Kablosuz Ağ Güvenlik Testleri: sonuçları %66 yüksek ve %34 orta,
Mobil uygulama güvenlik testleri: %4 acil, %14 kritik, %53 orta ve %29 yüksek sonuçlar,
Yazılım kaynak kodu analizi: %53 kritik, %22 sonuçları yüksek ve %25 orta şiddette sonuçlar verir.
Özellikle DDoS ve yük testi, sistem korumasının başarılı olup olmadığını değerlendirir. Bu kapsamda yapılan testleri düşünürsek;
DDOS Testi: %39 Başarılı, %61 Başarısız
Web Uygulaması Yükleme Testi: %50 Başarılı, %50 Başarısız.
Sosyal Mühendislik Testi ise, çeşitli aldatma teknikleri kullanılarak çalışanların bilgi güvenliği farkındalık düzeylerini ölçmeyi amaçlayan ve kurum çalışanlarının tamamına veya seçilmiş bir kısmına yapılan bir test hizmetidir. Bu denemenin bir parçası olarak, e-posta ve telefon iletişim araçları kullanılarak sonuçlar elde edildi. Bu kapsamda yapılan testleri düşünürsek;
E-posta: E-posta kurulumunda e-postanın açılması, açılan e-postanın bağlantısına tıklanması ve aşağıdaki formu doldurulması şeklinde üç aşamalı bir test düzenlenmiştir. %30’u e-posta alıcısı etkilenen e-postayı açtı, %90’ ‘e-posta açıcıların ‘bağlantısını tıkladı ve’ bağlantı tıklayıcılarının ‘ilgili formu doldurdu.
Telefon: Telefon yapılandırmasında kişilerden şifreleri istenir. Telefonla ulaşılan kullanıcı %75’i şifresini verdi.
Güvenlik Testi Hizmetleri Nelerdir?
Güvenlik Test Hizmetleri, bilgi sistemlerinin siber saldırganlara karşı bilgi güvenliğinin üç temel ilkesi olan gizlilik, bütünlük ve kullanılabilirlik, erişilebilirlik, keşfedilen mevcut güvenlik açıkları ve bu açıkları ortadan kaldırmak için önerilen çözümler üzerinde test edildiği hizmetler bütünüdür.
Bu hizmet kapsamında hatalı sonuçları en aza indirmek için, sadece otomatik tarama araçlarına değil, manuel tarama, kontrol ve doğrulama testlerine de önemli bir çaba harcanmaktadır. Bu yaklaşımları benimserken sektör liderlerinin lisanslı ürünlerinden, açık kaynaklı yazılımlardan ve geliştirdiğimiz uygulamalardan yararlanıyoruz.
Neden Güvenlik Testi?
Güvenlik, sistemin her katmanı için ayrı ayrı değerlendirilmesi gereken küresel bir konu olarak kabul edilir. Ağ, sistem veya uygulama düzeyinde sistemin istenmeyen kullanımına yol açabilecek zafiyetler oluşabilir.
Güvenli Şifreleme, Statik Uygulama Güvenlik Testi, Dinamik Uygulama Güvenlik Testi ve Sızma Testi gerçekleştirilebilecek kontrol adımlarını ifade eder. Bu süreçte özellikle statik ve dinamik testler için araçlar yaygın olarak kullanılırken, güvenli şifreleme ve penetrasyon için manuel test çalışmaları gerekmektedir.