28 Kasım 2014

ISO27001-2013 Geçiş Denetimleri İçin Standart Bulgu Listesi

Kahin değilim, ama denetim bizim işimiz.

2013 versiyonuyla ilk denetimler bu sıralar başlıyor, herkes merakla denetçiler acaba hangi konulara önem verecek diye bekliyor. Denetçiler ise çoktan standart bulgularım neler olabilir diye düşünmeye başladı bile.

İşte size standart bir bulgu listesi, ilk yıl en az %75’i denetçilerin işini rahatlıkla görür:

  • 4.1 Organizasyonun anlaşılması ve çevresel koşullar: Standart maddesi içeriğinde doğrudan bu konuyu vurgulamasa da sadece maddenin adı nedeniyle organizasyonun faaliyet alanları, organizasyon yapısı, temel tedarik zinciri ve sürekli müşterileri gibi bilgilerin olmaması denetçilerin bu bilgilerin eksikliği ile ilgili bulgu yazmasına neden olabilecektir. Özellikle de denetçi ISO 9001 sevdalısıysa. ISO 9001’iniz varsa ve meşhur kalite el kitabında bu konuları belirttiyseniz bu bulguyu savuşturabilirsiniz. 

24 Kasım 2014

Web Uygulama Denetimi - Bölüm-4: Kullanıcı Tanılama Kontrollerinin Aşılması

Kullanıcı tanılama üzerine erişim kontrolü ve oturum kontrolünün inşa edildiği önemli bir güvenlik kontrolüdür. Dolayısıyla ciddi tehditlerle karşı karşıyadır. Web uygulamalarında kullanıcı tanılama için kullanılan pek çok yöntem vardır:
  • HTML form tabanlı tanılama
  • Çok faktörlü tanılama (örneğin password ve token’ın bir arada kullanılması gibi)
  • İstemci SSL sertifikaları
  • HTTP Basic ve Digest kullanıcı tanılama
  • NTLM veya Kerberos ile Windows’a entegre kullanıcı tanılama
  • Kullanıcı tanılama servisleri (örneğin Microsoft Passport)

17 Kasım 2014

Web Uygulama Denetimi - Bölüm-3: İstemci Tarafı Kontrollerinin Aşılması

İstemci Aracılığı ile Veri Gönderme
Web uygulamaları sunucu tarafında kullanıcının tüm oturum bilgilerini tutmayıp bir kısmını istemciye geri göndererek bir sonraki aşamada istemci tarafından gönderilmesi yoluyla performanslarını artırmayı hedeflerler. Veya bazı durumlarda normalde istemci tarafından değiştirilmeyeceğine inandıkları bilgilere (Referer başlığı değeri gibi) dayanarak belli kontroller yaparlar. Ancak normalde değiştirilmeyeceği beklenen bu veriler teknik olarak değiştirilebilir ve bir saldırgan tarafından saldırı aracı olarak kullanılabilir.

10 Kasım 2014

Web Uygulama Denetimi - Bölüm-2: Uygulamanın Analizi

Uygulamanın içeriğinin ortaya çıkarılması haritalamanın önemli bir bölümüdür. Ancak bir o kadar önemli olan bir konu da tehdit yüzeyinin anlaşılması ve bir denetim prosedürünü oluşturmaya başlayabilmemiz için uygulamanın fonksiyonalitesi, davranışı ve kullanılan teknolojilerin tespitidir.

03 Kasım 2014

Web Uygulama Denetimi - Bölüm-1: Giriş

Denetime başlamadan önce uygulama ve destekleyen altyapı hakkında bilgi toplamalıyız. Bu konularda yeterli bilgiyi toplamadan denetime başlarsak doğru planlama yapamama nedeniyle yüksek riskli alanlara yoğunlaşamama ve doğru denetim prosedürlerini uygulayamama, uygulamadaki mimari mantık hatalarını tespit edememe, uygulamanın açıkça görülmeyen yönetim veya diğer fonksiyonalitesini tahmin edememe sonuçlarıyla karşı karşıya kalırız.