Günümüzde tüm sektörlerde hizmet veren kurumların teknoloji ve bilişim sistemlerini kullanması kaçınılmaz hale gelmiştir. Gün geçtikçe genişleyen altyapılarımız ve varlıklarımızın yönetimi zorlaşmaya başlayıp, daha fazla iş gücüne ihtiyaç duymaktadır.
Varlıklarımızın büyük bir çoğunluğu doğrudan dış ağlarla bağlantılı bir yapıya dönüşmüştür .
Sürekli olarak gelişmeye devam eden teknoloji ile birlikte varlıklar güncelliklerini hızlıca yitirebilmektedirler.
Varlıklarımızda oluşan zafiyetler , hızlıca güvenlik açıklıklarına dönüşebilmektedir.
Kurumların hedefi, en kısa sürede bu güvenlik açıklarının farkına varıp , iyileştirmeler ile eylem almaktır. Bu da periyodik olarak sızma testi yaptırma ihtiyacını doğurmuştur. Fakat, Güvenlik testi maliyetlerinin yüksek olmasından dolayı kurumlar bu testleri yılda bir veya bir kaç kez yaptırabilmektedir. Ancak üreticiler neredeyse her hafta zayıflıklara güncellemeler yayınlamaktadırlar. Sızma testi, var olan yapının bir röntgenini çekmek gibidir. Bu testin yılda bir defa yapılması, yeni çıkan/çıkabilecek zafiyetlerden haberdar olmamıza yardımcı olmamaktadır.
Bilgi sistemleri gün geçtikçe daha da karmaşık bir yapının parçası olmaktadır, yönetimi ve denetlenmesi oldukça zorlaşmaktadır. Bu sorunu çözüme ulaştırmak için varlıklarımızın sürekli periyodlarda denetlenmesi , zafiyetlerden en kısa sürede haberdar olunması ve iyileştirmelerin yapılması kurum varlıklarını güvende tutmak için olmazsa olmaz bir ihtiyaçtır.
Farklı tipte denetleme araçlarının verilerinin bir arada toplanamaması ve bu verilerin analiz edilip en kısa sürede eylem alma ihtiyacı, bütüncül çözümlere ihtiyaç doğurmuştur.
Bilgi Güvenliğinde Doğru Bilinen Yanlışlar
- Zayıflıkları kapattım zarar görmem.
“Zarar gören sistemlerin %65’i kapatıldığı düşünülen zayıflıklardandır.”
- Güvenlik testi yaptırıyorum ve zayıflıkları kapatıyorum, güvendeyim.
“Maalesef güvenlik testi kurumun bilgi güvenliğinin anlık değerlendirmesidir.”
- Siber saldırılar sadece dışarıdan gelir.
“Hayır, araştırmalara göre siber saldırıların yarıdan fazlası şirket içi tehditlerden ve zayıflıklardan kaynaklanıyor.”
- Bir çok pahalı güvenlik yazılımı kullanıyorum, güvendeyim.
“Siber güvenlik yatırımlarında öncelik, tehditlerin ve eksikliklerin farkında olmak,sürekli tehdit istihbaratı yaparak, eksiklikleri gidermeye odaklanacak süreçleri sağlamaktır.”
GÜVENLİK BİR ÜRÜN DEĞİL SÜREÇTİR !
Kendimize, kurumumuz için bazı sorular soralım !
- Dijital varlıklarımıza hakim miyiz ?
- Nerelerden saldırı gelebileceğini ön görebiliyor muyuz ?
- Verilerimizin değeri nedir?
- Veri güvenliğinin sorumlusu kim?
- Kurumum gerçekten güvende mi?
- Risklerimizi sürekli denetliyor muyuz?
- Risklerimize iyileştirme eylemi alıyor muyuz?
Çözümler neler olabilir ?
- Güvenliği tüm katmanlarda aktif olarak izleyerek,tespit edilen zayıflıkların analizi ile sürekli denetlenmesi.
- Yeni tespit edilen varlıkların,servislerin,zayıflıkların sürekli denetlenmesi.(Envanter Sürekliliği)
- Bilgi güvenliği risklerinden hızlıca haberdar olmak.
- İyileştirme eylemlerini hızlıca almak ve iyileştirmeleri kronolojik olarak takip etmek.
- Çok katmanlı risk kontrolü sağlayarak, denetleme adımlarının otomatik tekrar edebilmesi.
- Kolay anlaşılabilir görselleştirmeler,zenginleştirmeler.
- Risk seviyelerinin önceliklendirilmesi.
PENTESTBX , BİLGİ GÜVENLİĞİ SÜREÇLERİNİZİ YÖNETMENİZ İÇİN BÜTÜNCÜL ÇÖZÜM SUNMAKTADIR
● Kurumların Siber varlıklarının güvenlik zafiyetlerini keşfederek kurum’a oluşturacağı riskleri, ve saldırı yüzeylerini tespit eder.
● Kurum varlıklarına göre özelleştirilebilir modüller içerir.
– (System) Public/Private IP adreslerinin (Sistemlerin) güvenliği takip eder.
– (Web App.) Web Uygulamalarının güvenliğini takip eder.
– (Cyber Int.) Tehdit istihbaratı yapar.
– (Wireless) Kablosuz ağ güvenliğini takip eder.
– (AD/Domain) Active Directory güvenliğini takip eder. (Gelecek Modül)
– (Devices) Firewall/Switch/Router firmware güvenliğini takip eder. (Gelecek Modül)
KEŞİF
- Kurum ağında bulunan varlıkların tespiti
- Yeni dahil olan varlıkların tespiti.
- Aktif varlıklar üzerindeki açık portların tespiti.
- Bulunan açık portlar üzerindeki servislerin tespiti.
- Network haritasını çıkarılması.
ZAYIFLIK TESPİTİ
- Kurum ağındaki aktif sistem ve zayıflıkların tespiti.
- Network servislerinin şifre güvenliği denetlemesi.
- Dosya erişim yetki kontrolleri.
- Web uygulama zayıflık tespiti.
- Antivirüs ve Antispam yazılımlarının kontrolü.
- Siber istihbarat ile,sertifika geçerliliği ,veri sızıntısı,sosyal medya takibi,blacklist kontrolleri.
- Tüm denetlemeler, zamanlamalar ile otomatize edilir.
RAPORLAMA
- Tespit edilen sistem ve web uygulama zayıflıklarının, modül bazlı ayrıntılı raporlanması ve iyileştirme önerileri.
- Zayıflıklara ve varlık değerine göre risk skoru hesaplama ve takibi.
- Kronolojik raporlama ile iyileştirmelerin yada yeni zafiyetlerin takibi.
- Oluşturulan raporların PDF olarak alınabilmesi.
- Yeni bulguların denetleme sonrası bildirim olarak alınabilmesi.
(Eposta-Mobil App.)
PentestBX Arayüz Görüntüleri
