Barikat Siber Güvenlik Logo
+90 (216) 504 53 30 +90 (312) 235 44 41 bilgi@barikat.com.tr EN Barikat Grup

Güvenlik Test Hizmetleri Kapsamında Ne Sunulur? Yapılan Test Hizmetleri Nasıl Sonuçlar Verir?

  1. Ana Sayfa
  2. Blog
Güvenlik Test Hizmetleri Kapsamında Ne Sunulur? Yapılan Test Hizmetleri Nasıl Sonuçlar Verir? | Barikat Siber Güvenlik

Güvenlik Test Hizmetleri Kapsamında Ne Sunulur? Yapılan Test Hizmetleri Nasıl Sonuçlar Verir?

11/08/2020

Barikat Siber Güvenlik tarafından farklı sektörlerden birçok organizasyona Güvenlik Test Hizmeti sunulmaktadır. Hazırlanan bu blog yazısında organizasyonların tarafından talep edilen test hizmetlerini ve bu test hizmetlerine ait bulguları paylaşmaya çalışacağız. Güvenlik Test Hizmetleri, ürün bağımsız olarak bilgi güvenliğinin üç temel ilkesi olan gizlilik, bütünlük ve erişilebilirlik konularında bilgi sistemlerinin, siber saldırganlardan önce test edilerek, mevcut güvenlik açıklıklarının tespit edildiği ve bu açıklıkların giderilmesine yönelik çözüm önerilerinin sunulduğu hizmetler bütünüdür.

Barikat Siber Güvenlik bu kapsamda internet, yerel ağ, web uygulama, kablosuz ağ, sosyal mühendislik, DDoS, mobil uygulama, yazılım kaynak kod analizi, sürekli zafiyet analizi, zararlı trafik analizi, kırmızı takım gibi konularda güvenlik test hizmetleri sunmaktadır.

İlgili çalışmalar finans, kamu, ulaştırma, e-ticaret, enerji ve iletişim gibi farklı sektörlerden organizasyonların talepleri üzerine hazırlanmıştır. Organizasyonların talep ettikleri Güvenlik Test Hizmetlerinin detaylarına inecek olursak;

  • İnternet Güvenlik Testleri: Organizasyonların internet üzerinden erişilebilen verilerini inceler.
  • Yerel Ağ Güvenlik Testleri: Organizasyonların yerel ağları üzerinden erişilebilen verilerini inceler.
  • Mobil & Web Uygulama Güvenlik Testleri: Organizasyonların web uygulamaları üzerinden erişilebilen verilerini inceler.
  • Web Servisi/API Güvenlik Testleri: Organizasyonların web servisleri üzerinde oluşabilecek aksaklık verilerini inceler.
  • Kablosuz Ağ Güvenlik Testleri: Organizasyonların kablosuz ağlarının erişim kontrollerinin, yapılandırmalarının ve kullanıcılarının davranışlarının değerlendirilmesi, parola kırma testleri, erişim sağlanan kablosuz ağlar üzerinden kurum ağına gerçekleştirilebilecek saldırıların test edilmesi verilerini inceler.

    • Bu testler dâhilinde elde edilen sonuçlar önem derecelerine bağlı olarak acil, kritik, yüksek ve orta dereceli bulgular olarak etiketlenirler. İlgili testlerin sonunda elde edilen sonuçlar %3 acil, %16 kritik, %59 yüksek ve %16 orta önem derecesiyle etiketlenmiştir. Yapılan testlere alt konu başlıkları özelinde bakacak olursak;

  • İnternet Güvenlik Testleri: %14 kritik, %43 yüksek ve %43 orta önem dereceli bulgu,
  • Web Uygulama Güvenlik Testleri: %14 acil, %17 kritik, %33 yüksek ve %36 orta önem dereceli bulgu,
  • Web Servisi Güvenlik Testleri: %66 yüksek ve %34 orta önem dereceli bulgu,
  • Yerel Ağ Güvenlik Testleri: %5 kritik, %94 yüksek ve %1 orta önem dereceli bulgu,
  • Kablosuz Ağ Güvenlik Testleri: %66 yüksek ve %34 orta önem dereceli bulgu,
  • Mobil Uygulama Güvenlik Testleri: %4 acil, %14 kritik, %29 yüksek ve %53 orta önem dereceli bulgu,
  • Yazılım Kaynak Kodu Analizi: %53 kritik, %22 yüksek ve %25 orta önem dereceli bulgu elde edilmiştir.

    • DDoS ve yük testleri özelinde değerlendirme sistemin korumasının başarılı ya da başarısız olma durumunu incelemektedir. Bu bağlamda yapılan testleri inceleyecek olursak;

  • DDOS Testleri: %39 başarılı, %61 başarısız
  • Web Uygulama Yük Testleri: %50 başarılı, %50 başarısız olarak tespit edilmiştir.

    • Sosyal Mühendislik Testleri ise organizasyonların çalışanlarının tamamına ya da örnekleme usulü seçilen bir kısmına yönelik gerçekleştirilen ve çeşitli aldatma teknikleri kullanarak, personelin bilgi güvenliği konusundaki bilinç seviyesini ölçmeyi hedefleyen test hizmetidir. Bu test kapsamında e-posta ve telefon iletişim araçları kullanılarak bulgular elde edilmiştir. Bu bağlamda yapılan testleri inceleyecek olursak;

  • E-posta: E-posta kurgusunda e-postanın açılması, açılan e-posta üzerinde verilen linke tıklanması ve ilgili tıklama sonucunda formun doldurulması şeklinde 3 aşamalı bir test düzenlenmiştir. E-postayı alan kullanıcıların %30’u ilgili e-postayı açmış, postayı açanların %90’ı linki tıklamış ve linki tıklayanların ise %14’ü ilgili formu doldurmuştur.
  • Telefon: Telefon kurgusunda kişilerden şifreleri istenmiştir. Telefon ile ulaşılan kullanıcıların %75’i şifrelerini vermişlerdir.

    • Tüm bu bilgilere ek olarak benzer değerlendirme dönemi içerisinde enerji sektöründe hizmet verilen bir müşteri için sıfırıncı gün açıklığı bulunmuştur. Sızma testleri sırasında bulunan sıfırıncı gün açıklığı ile ilgili CVSS v3.0 Base Skoru 8.1 olarak belirtilmiştir.

    Barikat Siber Güvenlik bulgulara yönelik genel çözüm önerileri sunmaktadır. Hazırlanan bu blog yazısının organizasyonların genel zafiyet eğilimlerini görmesi açısından faydalı olacağını umuyoruz.

    Güvenlik Test Hizmetlerimiz hakkında daha fazla bilgi almak için lütfen bize ulaşın.

  • Örneklem olarak Haziran 2020 döneminde yapılan testler değerlendirmeye alınmıştır.
    • Sosyal Medyada Paylaş
    Linkedin