Scavdat

Güvenlik Testlerinde Kaliteli Hizmetler

ScavDAT, Scada ve DATA güvenliği üzerine geliştirilmiş bilgi güvenliği iyileştirme ve yazılımları projesidir.

Tüm Üretenler İçin: Ürün ve hizmet üreten tüm firmaların operasyonlarına zarar verebilecek dijital risklerin tespit edilmesi, kuruma özgün şekilde çözümlerin önerilmesi, yazılımların denetlenmesi, gerektiğinde yazılımların geliştirilerek desteklenmesi, kısacası güvenlik disiplininin kurulması ve tüm kullanıcıların farkındalık eğitimleri ile bilinçlendirilmesine yönelik yapılan çalışmalardan oluşur.

PROFESYONEL GÜVENLİK DENETİMLERİ

ISR ekibi, ScavDAT süreci içerisinde kurum ile yapılan görüşmeler ve dış incelemeler neticesinde, takvimlendirilen profesyonel güvenlik denetimini 3 farklı seviyede ve 8 kategoride icra etmektedir.

TÜBİTAK Martek’ten onaylanmış ScavDAT projesi ile uluslararası bilinirliğe sahip OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert) sertifikalı güvenlik mühendislerinin tecrübeleri sizler ile buluştu.

OSCEOffensive Security Certified Professional

TÜBİTAK Martek

3 Farklı Güvenlik Seviyesi:

– Scavdat Standard

– Scavdat Advanced

– Scavdat Expert


Risk düzeyi kurum özelinde değerlendirilerek, en doğru seviyede denetim veya testlerin uygulanması sağlanır.

Gerçekleştirilen çalışmalar ilgili güvenlik seviyesinin temel dinamikleri çerçevesinde yürütülür, böylelikle  kurumun yapısına en uygun ve en doğru savunma seviyesinde denetim/test çalışması yürütülür, uygulanabilir bir savunma düzeni getirilmesi sağlanır.

Sızma testleri sırasında uygulanacak metotlar ve sonuçları, ihtiyaç duyduğunuz veya tercih ettiğiniz seviyedeki güvenlik kalitesi çerçevesinde Scavdat yazılımları yardımı ile gerçekleştirilir ve çalışma raporu tarafınıza iletilir.

Standard (Standart) seviyede gerçekleştirilen testlere kalite disiplininin yanı sıra sınırlamalar da getirilmiştir. Böylelikle yalnızca alışılmış olduğu ve/veya kendisine sunulduğu için değil, gerçekten o risk seviyesinde ihtiyaç duyulduğu takdirde ilgili çalışmanın yapılması sağlanmaktadır. Bununla birlikte, ihtiyaç duyulan standartlarda bir çalışmanın gerçekleştirilmesi garanti edilmekte ve sonuç olarak güvenlik iyileştirmesi kazanımı sunulmaktadır.

Advanced (İleri) ve Expert (Uzman) seviyelerde yürütülen testlerde de uygulamalarda çoğunlukla atlanan, ortaya koyulan çeşitli standartlarda yazılı dahi olmayan, ancak güvenlik uzmanları olarak risk seviyesine göre yapılmasının zorunlu olduğunu gördüğümüz bazı metotlar çalışmalara katılmıştır.

Böylelikle hem risk düzeyiniz ve kurumunuzun gerektirdiği güvenlik seviyesinin ölçeklerine göre kaliteli bir testten faydalanmış olursunuz hem de iyileştirmede gerek duyulmayan, sonuç kalabalığı yaratan testler yerine güvenlik seviyenizi koruyan ve daima arttıran sonuçlara odaklanmanız sağlanarak gelişim yakalanmış olur.

Güvenlik seviyelerine ilişkin daha detaylı bilgileri uzmanlarımız ile görüşebilirsiniz.

ISR Bilgi Güvenliği, 25 yılı aşkın süredir güvenlik sektörünü takip eden uzmanlardan oluşmaktadır.

Uzmanlarımız çalışmalarına dair bulgularını sizin ihtiyacınıza en uygun şekilde özet nitelikte, teknik açıklamarı ile ve sade bir dil ile Türkçe raporlayarak sizin işinize ve çözüme odaklanabilmenizi sağlar.

Siber güvenlik konusunda bilgi güvenliğini sağladığımız müşterilerimizin güvenliğini sürdürmek amacıyla adlarını burada paylaşmayı doğru bulmuyoruz.

Gizlilik anlaşmamız çerçevesinde referanslarını paylaşmak üzere izin aldığımız müşterilerimiz için bizimle iletişime geçebilirsiniz.

Çalışmalar sonucunda tespit edilen sistem zafiyetleri ve bu zafiyetlere bağlı erişilebilecek bilgilerin gizli kalması bizim için yüksek derecede önemlidir.

Siber güvenlik çalışmalarının başlangıcında her iki kurumun da çalışma şartlarına yönelik gizlilik sözleşmesi imzalaması ve bu çerçevede kurumsal disiplinin korunması sağlanmaktadır.

Sözleşmelerimiz çerçevesinde çalışmalarımızın gizlilikle yürütülmesi, size karşı olan şeffaflığımızı kaybetmemiz anlamına gelmemektedir. Çalışmalara yönelik ihtiyaç duyulan detaylı bilgi yetkili kişilere aktarılmaktadır.

Memnuniyet hedefimiz çerçevesinde müşterilerin kazanımı, tekrarlayan müşterilere döndürülmesi ve olumlu referans kazanımı için tüm çalışmalarımız özveri ile yürütülmektedir.

Serbestlik / Kontrol Seçenekleri


Kalite Seçimine Ek Olarak Kontrol Seçenekleri


Beyaz Test – Açık Bilgilendirme ve Sınırlandırma Metodu

Kurumunuza ait bilgilerin tamamını sizden aldığımız ve belirtilen bu bilgiler dışında testin genişletilmediği kontrollü test senaryosudur. Bu çalışmada genellikle dışarıdan ulaşılan web sunucusu, ftp sunucusu ve test edilmesini istediğiniz diğer sunucular (hostlar) test edilir.

 


Gri Test – Kısmi Bilgilendirme Metodu

Gri test en çok tercih edilen test türüdür. Beyaz test gibi sizden verebileceğiniz tüm bilgiler ve test edilmesini istediğiniz sunucu (host) bilgileri alınır.

 


Siyah Test – Bilgi Paylaşımsız Metot (Gerçek Simülasyon)

Çalışma kapsamındaki IP sınırı haricinde sizden herhangi bir bilgi alınmadan, bir saldırganın gerçekleştirebileceği şekilde bilgi edinimi yolu ile çalışmalara başlanarak yürütülen, gerçek saldırının simüle edildiği test çalışmasıdır.

 


Red Team (En Üst Düzey Simülasyon)

Sizden herhangi bir bilgi alınmadan, bir saldırganın gerçekleştirebileceği şekilde bilgi edinimi yollarının tamamı ile çalışmalara başlanır, gerçek saldırının en üst düzeyde simüle edildiği test çalışmasıdır.

8 Ayrı Seçenek


8 ayrı seçenekte uygulanabilen sızma testleri Scavdat güvenlik kalite seviyeleri ile basamaklandırılmıştır.


Dış Ağdan veya İnternet Üzerinden Ağ Denetimi

Bu testler kurum dışından gerçekleştirilir, kontrollüdür ve zarar vermeme tarzındadır, operasyonu aksatıcı bir girişimde (DDOS) bulunulmaz. Gerçek bir saldırganın aktiviteleri taklit edilir, kurum hakkında bilgi toplanır ve elde edilen bilgiler ile kurum kaynaklarına dışarıdan erişim gerçekleştirilir.

Bu çalışmalar sonucunda sistemlerinize zarar vermeden ve ulaşılan bilgilerin güvenliği korunarak güvenlik açıklarınız tespit edilir, saldırganlardan önce açıkları bilmeniz ve bilgilerinizin gizliliği, bütünlüğü, korunması sağlanır.

 


Web Sitesi Güvenlik Denetimi

OWASP listelerinde belirtilen web uygulama güvenlik riskleri incelenir.

Standart güvenlik tarayıcılarının dışında manuel analizler ile de ISR uzmanları iş akışınıza uygun daha karmaşık saldırı vektörleri deneyerek web sitenizi denetimden geçirir.

 


Size Özel Yazılmış Uygulamalar (Web, Desktop, Mobil) Denetimi

Size özel yazılmış uygulamalar, güvenlik denetiminin yapılması gereken en kritik alanlardır. Standart güvenlik tarayıcı yazılımları ve koruma yazılımları özel yazılmış bu uygulamaların çalışma şeklini bilmedikleri için bu uygulamaların testinde işe yaramaz, manuel denetimin gerçekleştirilmesi büyük önem taşımaktadır.

Bu denetimler standart sızma testi uzmanlığının ötesinde ayrıca yazılım geliştirme tecrübesine sahip kişiler tarafından yapılmalıdır. ISR kadrosunda bulunan güvenli yazılım geliştirme metodolojisine ilişkin bilgi birikimi kullanılarak, güvenli yazılımlarda bulunması gereken özellikler gözden geçirilerek yazılım denetimi en üst seviyede gerçekleştirir ve raporlanır.

 


DDoS Testi

DDoS simülasyonu, olası bir saldırı stratejisinin sonuçlarını tam olarak tespit etmek için varlığınızın değişkenlerine bağlı olarak bant genişliği kapasitesi, hizmet türü, altyapı, yazılım yapısı ve/veya mimari vb. farklı açıları içerir.

Trafik kapasitenizi farklı saldırı türlerine karşı test etmek, gereksiz bant genişliği yatırımlarından, gereksiz bant yükseltme ve/veya saldırı yönlendirme gibi yatırımlardan kaçınmanızı, gerçek zayıf noktayı bularak doğru noktaya yatırım yaparak maliyetten tasarruf etmenizi sağlar.

 


Uygulama Yük ve Stres Testi

Uygulamaların zafiyetleri sunucu zafiyetlerinden farklıdır ve çoğunlukla standart taramalar ve çalışmalar ile tespit edilemez. DDoS testleri ile elde edilemeyen bulguların ortaya çıkarılması için uygulamanın karakteristik özellikleri yazılım uzmanlığı olan güvenlikçiler tarafından tespit edilirek yük ve stres testi yapılır, uygulama hatalarını ve zayıflıklarını kod seviyesinde belirleyerek hem güvenli hem daha dayanıkı bir yazılıma sahip olmanız için oldukça önemli bir adımdır.

 


İç Ağ Denetimi

İç ağ, saldırıların büyük bir kısmının gerçekleştiği risk alanıdır. Belli metodolojiler ile ağ dizayn eksiklikleri veya problemleri, konfigürasyon hataları, zararlı yazılımlar, eksik güvenlik yamaları, güvensiz parolalar vb. başlıklar denetlenir ve güvenli hale getirmek üzere raporlanır.

Bu çalışmaların sonucunda, size belirtilen zaman içerisinde zafiyetleriniz giderildikten sonra tekrar kontrol (re-check) uygulamaları da yapılmaktadır. Tekrar kontrol (re-check) için belirtilen zaman dilimi zafiyetlerin önemi veya kabulüne bağlı değişiklik gösterir, karşılıklı görüşme ile belirlenir.

 


Kablosuz Ağ Denetimi

Kablosuz ağlarınızın sinyallerini takip eden saldırganların, ağ içerisine sızma çalışmalarının simülasyonunu içerir. Kablosuz ağ, değişik düzeylerdeki saldırı risklerine göre kademeli olarak testten geçirilir, varsa zafiyetler ve iyileştirme önerileri raporlanır.

 


Sosyal Mühendislik Denetimi

Ağınıza her türlü güvenlik yatırımı yapmış olmanıza karşın güvenlik zincirinde en zayıf halkanın “insan” olduğu ve zafiyet taşıdığı değişmez bir gerçektir.

Bu yüzden ISR çalışanlarınız üzerinden oluşabilecek güvenlik risklerini sosyal mühendislik denetimleri ile tespit eder. Bu çalışmayı takiben “farkındalık eğitimleri” ile risklere karşı prosedürler ve kurallar oluşturulmasına yardımcı olunabilir.

Sizi Arayalım

ScavDAT hakkında daha detaylı bilgi almak için lütfen bizimle iletişime geçiniz.

2 yıl boyunca sürdürdüğümüz ScavDAT ARGE projemiz kapsamında geliştirdiğimiz metodolojilerimizden, edindiğimiz tecrübelerden ve özgün raporlamalarımızdan örnekler görmek için bizimle iletişime geçebilirsiniz.

bilgi at isr.com.tr

Sizi Arayalım