OWASP(Open Web Application Security Project), web uygulama güvenliğinde dünya çapında kabul görmüş en kapsamlı rehberdir. Kurumların güvenli yazılım geliştirme süreçlerini denetlemeleri için gerekli metodolojileri ve kontrol listelerini sunar. 2004 yılından bu yana geliştirilen OWASP Test Rehberi (v4), günümüzde web uygulama güvenliği üzerine en güncel ve kapsamlı kaynak olarak kabul edilmektedir.

OWASP Denetim Kapsamımız

Güvenlik testlerimizi OWASP standartlarına göre şu başlıklar altında titizlikle yürütüyoruz:

1. Bilgi Toplama: Hedef uygulama hakkında teknik verilerin analizi.

2. Yapılandırma Yönetimi: Sunucu ve altyapı güvenliğinin denetimi.

3. Kimlik Yönetimi: Kullanıcı rollerinin ve yetkilerinin incelenmesi.

4. Kimlik Doğrulama: Giriş mekanizmalarının güvenliği (Password, 2FA vb.).

5. Yetkilendirme: Yetkisiz erişim ve veri sızıntısı kontrolleri.

6. Oturum Yönetimi: Session süreçlerinin güvenliğinin testi.

7. Giriş Doğrulama: SQL Injection, XSS gibi saldırılara karşı direnç ölçümü.

8. Hata Giderme: Uygulama hatalarının bilgi ifşasına yol açıp açmadığının kontrolü.

9. Zayıf Kriptografi: Şifreleme algoritmalarının güncelliği ve güvenliği.

10. İş Mantığı Testleri: Uygulama akışındaki mantıksal açıkların tespiti.

11. İstemci Tarafı Testleri: Kullanıcı tarayıcısı üzerindeki güvenlik riskleri.

2001 yılının ocak ayında ISECOM (Güvenlik ve Açık Kaynak Metodoloji Enstitüsü) tarafından yayınlanan OSSTMM(The Open Source Security Testing Methodology Manual) açık kaynak bir güvenlik testi metodolojisidir. Operasyonel güvenliği önemli ölçüde arttırabilecek eyleme geçirilebilir bilgiler sunmaktadır. Penetrasyon testi klavuzu yerine ISO 27001 referansını desteklediği söylenilebilir. 2010 yılında OSSTMM versiyon 3 yayınlanmıştır. Anahtar bölümleri şu şekilde sıralanır.

Operasyonel Güvenlik Metrikleri Güven Analizi;

1. İş akışı
2. İnsan Güvenliği Testi
3. Fiziksel Güvenlik Testi
4. Kablosuz Güvenlik Testi
5. Telekomünikasyon Güvenlik Testi
6. Veri Ağları Güvenlik Testi
7. Uyum Mevzuatı
8. STAR (Güvenlik Testi Denetim Raporu) ile Raporlama

Bilgi Sistemleri Güvenlik Değerlendirme Sistemi (ISSAF) aktif bir topluluk olmasa da, iyi bir sızma testi referans kaynağıdır. Kapsamlı teknik bir sızma testi rehberliği sağlar. İlk versiyonu 2005’te yayınlamış ve bir güncelleme gelmemiştir. Güvenlik kontrol listeleri ve bilişim güvenliği argümanlarının değerlendirme ölçeklerini sunar.

Abd Ulusal Standartlar ve Teknoloji Enstitüsü tarafından 2008 yılında yayınlanan NIST SP800-115(Bilgi Güvenliği Test ve Değerlendirme Teknik Kılavuzu) adlı bu kılavuz günümüzde de önemli referans kaynaklarındandır. Kurum ve kuruluşlara teknik anlamda bilgi güvenliği test ve yöntemlerini planlama, yürütme, bulguları analiz stratejileri geliştirme konularında yardımcı olma misyonunu üstlenmiş bir rehberdir. Kılavuz, sızma testi ve inceleme süreçleri ve prosedürlerinin tasarlanması, uygulanması ve sürdürülmesi için pratik öneriler sunar. Bunlar, bir sistemde veya ağda güvenlik açıklarının bulunmasıdır. Ve bir ilkeye veya diğer gereksinimlere uygunluğun doğrulanması gibi çeşitli amaçlar için kullanılabilirler. Beş ana başlıktan oluşur.

Bunlar;

1. Hedef Tanımlama ve Analiz Teknikleri
2. Hedef Güvenlik Açığı Doğrulama Teknikleri
3. Güvenlik Değerlendirme Planlaması
4. Güvenlik Değerlendirme Faaliyetleri
5. Test Sonrası Faaliyetler

PTES (Penetration Testing Execution Standart) Açık kaynak bir proje olan Sızma Testi Yürütme Standardı, 2009 yılında sızma testlerindeki konsensus oluşturulması amacıyla ilk versiyonunu kamuoyuna bildirmiştir. 2012 yılında son güncellemesini alan bu rehber yedi ana bölümden oluşmaktadır. Standart bir sızma testi yürütmek için temel olarak tanımlanan ana bölümler şunlardır:

1. Ön Sözleşme
2. İstihbarat toplama
3. Tehdit Modellemesi
4. Güvenlik Açığı Analizi
5. İstismar Süreci
6. İleri Sömürü Aşaması
7. Raporlama

Türk Standartları Enstitüsü (TSE) tarafından yayınlanan sızma testi standartları, ülkemizdeki kurum ve kuruluşların siber güvenlik denetimlerinde temel referanstır. TSE-Sızma Testi Uzmanlığı kriterleri çerçevesinde yürütülen testler, teknik yetkinliğin ve metodolojik disiplinin en üst düzeyde tutulmasını sağlar. Kamu kurumları ve kritik altyapı hizmeti veren özel kuruluşlar için belirlenen standartlara uygun, onaylı bir süreç yönetimi sunar.

Kapsamımız:

1. Standartlara Uygun Teknik Altyapı Analizi

2. Sertifikalı Uzman Kadro ile Denetim

3. Ulusal Mevzuatlara Tam Uyumlu Raporlama

4. Risk Derecelendirmesi ve İyileştirme Planı

ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS), kurumsal bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için tasarlanmış uluslararası bir standarttır. Sızma testi süreçlerimiz, ISO 27001’in A.12.6 Teknik Açıklık Yönetimi maddesi uyarınca, kurumların siber saldırılara karşı dayanıklılığını ölçmeyi ve zafiyetlerin sistematik bir şekilde kapatılmasını amaçlar.

Kapsamımız:

1. Varlık Envanteri ve Güvenlik Seviyesi Kontrolü

2. Teknik Güvenlik Açıklarının Sistematik Tespiti

3. BGYS Denetim Hazırlığı ve Risk Analizi

4. Süreç Odaklı İyileştirme Tavsiyeleri

Bankalar ve finansal kuruluşlar için hazırlanan “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” çerçevesinde sızma testleri gerçekleştiriyoruz. Finans sektörünün en katı güvenlik gereksinimlerini karşılayan bu testler, kritik bankacılık sistemlerini ve müşteri verilerini korumayı hedefler.

Kapsamımız:

1. İnternet Bankacılığı ve Mobil Şube Güvenlik Testleri

2. Swift ve EFT Altyapısı Denetimleri

3. Finansal Veri Tabanı Güvenlik Analizleri

4. Sosyal Mühendislik ve Phishing Simülasyonları

Aracı kurumlar ve portföy yönetim şirketlerinin tabi olduğu SPK mevzuatına uygun güvenlik denetimleri sağlıyoruz. Yatırımcı verilerinin korunması ve işlem platformlarının kesintisiz çalışması için gerekli olan periyodik sızma testleri, kurulun belirlediği teknik kriterlere göre titizlikle yürütülür.

Kapsamımız:

1. İşlem Platformları (Trading) Güvenlik Analizi

2. Müşteri Veri Gizliliği Denetimi

3. Altyapı ve Sistem Dayanıklılık Testleri

4. Mevzuata Uygun Teknik Raporlama

Ödeme sistemleri ve kredi kartı verisi işleyen kurumlar için geçerli olan PCI DSS, dünya çapında kabul görmüş en katı veri güvenliği standartlarından biridir. Sızma testi hizmetimiz, kart sahibi verilerine erişimi engelleyen kontrollerin etkinliğini doğrular ve yıllık denetimlerde kurumun uyumluluk sağlamasına yardımcı olur.

Kapsamımız:

1. Kart Sahibi Veri Ortamı (CDE) Segmentasyon Testleri

2. Uygulama Katmanı ve Ağ Sızma Testleri

3. Kablosuz Ağ (Wireless) Güvenlik Denetimleri

4. ASV (Approved Scanning Vendor) Standartlarında Tarama

Enerji sektöründeki kritik altyapıların siber güvenliğini sağlamak amacıyla EPDK tarafından yayınlanan yönetmelikler doğrultusunda testler gerçekleştiriyoruz. Özellikle SCADA, ICS ve OT sistemlerinin güvenliği, enerji arz güvenliğinin korunması için bu denetimlerin merkezinde yer alır.

Kapsamımız:

1. SCADA ve Endüstriyel Kontrol Sistemleri Analizi

2. Kritik Enerji Altyapıları Ağ Güvenliği

3. Fiziksel ve Dijital Erişim Kontrolleri

4. İş Sürekliliği ve Felaket Senaryosu Testleri