BTRisk tarafından uygulamalı olarak verilen sızma testi (pentest) eğitimleri ve diğer bilgi güvenliği eğitimleri için 2016 yılı eğitim takvimi yayınlandı.
30 Aralık 2015
27 Aralık 2015
Ubuntu IPTables (Linux IPTables) Firewall Ayarları - Bölüm 2
Bir adres nasıl bloke edilir?
Örneğin facebook yasaklamak için ve blacklist eklemek için kullanılır.
# iptables –A OUTPUT –p tcp –d www.facebook.com –j DROP
# iptables –A OUTPUT –p tcp –d facebook.com –j DROP
Dışarıdan IP adresine nasıl izin verilir?
Dışarıdan sadece btrisk.com adresine izin vermek için ve bu aynı zaman da whitelist eklemek için kullanılır.
# iptables –-policy INPUT DROP
# iptables –A INPUT –s btrisk.com –j ACCEPT
SQL server nasıl kısıtlanmalıdır?
SQL sunucuya herkezin erişme izni olmamalıdır. LAN kullanıcıları için SQL server izin verme:
# iptables –I INPUT –p tcp –s 10.18.12.0/24 –dport 3306 –j ACCEPT
http ve https protokollerine nasıl izin tanımlanır?
Güvenliği yüksek olan sunucu ortamlarda sadece 80 ve 443 portuna izin verilmelidir. Sadece 80(http) ve 443(https) portuna izin verme:
# iptables –A INPUT –p tcp --dport 80,443 –m state --state NEW,ESTABLISHED –j ACCEPT
# iptables –A OUTPUT –p tcp --sport 80,443 –m state --state ESTABLISHED –j ACCEPT
SSH portuna nasıl izin tanımlanır?
Bazen sunucuya uzaktan bağlanılabilmektedir. Bunun için en güvenli yöntem IP tanımlamaktadır. Belirli bir IP adresinden gelen SSH isteklerine izin verme:
# iptables –A INPUT –p tcp –s btrisk.com --dport 22 –m state --state NEW,ESTABLISHED –j ACCEPT
DoS’dan korunmak için nasıl tanımlanmalıdır?
DoS saldırıya karşı koruma:
# iptables –A INPUT –p tcp –dport 80 –m limit --limit 25/minute --limit-burst 100 –j ACCEPT
Toplam bağlantı süresi limit-burst seviyesine eriştikten sonra 25/minute uygulanacaktır.
Load Balance nasıl tanımlanır?
Gelen Web trafiğini iptables ile Load Balance edebilme:
# iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.2.11:443
# iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.2.12:443
# iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.2.13:443
Port Yönlendirme nasıl yapılmalıdır?
Port yönlendirme yapma, 420 portundan gelen isteği 22 portuna yönlendirmek için kullanılabilir.
# iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 420 -j DNAT --to 192.168.102.37:22
İç ağda IP adresi koruma nasıl tanımlanır?
Belli IP adreslerini korumak için:
# iptables –I FORWARD –m tcp –p tcp –m iprange –src-range 192.168.2.50-192.168.2.200 –j REJECT
# iptables –I FORWARD –m udp –p udp –m iprange –src-range 192.168.2.50-192.168.2.200 –j REJECT
Video nasıl engellenir?
İç ağda çalışanlar için bazen video engellenmesi yapılmak istenmektedir. Videoları engellemek için kullanılabilir :
# iptables –I FORWARD –m udp –p udp --dport 80,443 –m iprange –src-range 192.168.2.50-192.168.2.200 –j REJECT
IPTables kullanarak nasıl bash script yazılır?
Bazen farklı durumlar için script hazırlamak gerekebilir. Bu scriptler farklı ortamlar için farklı olacağından hazırlanabilir.
Aşağıda bulunan script port taraması ve smurf saldırılarına karşı önlem amaçlı hazırlanmıştır. Aynı zamanda nasıl loglandığı göstermektedir.
#!/bin/sh
#
#
# Bu script port scan ve smurf saldırılarını engellmek içindir.
IPT ="iptables"
echo "Starting IPv4 Wall..."
# Tüm iptables kurallarını sil
$IPT -F
BADIPS=$(egrep -v -E "^#|^$" /root/scripts/blacklist_IPs.fw)
################# INPUT iptable Kuralları #################
# loopback input kabul et
$IPT -A INPUT -i lo -p all -j ACCEPT
# TCP el sıkışmaya izin ver.
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Kara Listedeki IP'leri blokla
for ip in $BADIPS
do
$IPT -A INPUT -s $ip -j DROP
$IPT -A OUTPUT -d $ip -j DROP
done
# SMURF saldırlar için koruma
$IPT -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
$IPT -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
$IPT -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT
# Geçersiz paketleri DROP et.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A OUTPUT -m state --state INVALID -j DROP
# RST paket, smurf saldırına izin verme
$IPT -A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 2/second --limit-burst 2 -j ACCEPT
# Portscan koruma.
# Saldıran IP adresini 24 saat (3600 x 24 = 86400 Saniye) kitle.
$IPT -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP
$IPT -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP
# 24 saat sonra bloğu kaldır.
$IPT -A INPUT -m recent --name portscan --remove
$IPT -A FORWARD -m recent --name portscan --remove
# Port taramaları logla. portscan prefix ile.
$IPT -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
$IPT -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
$IPT -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "portscan:"
$IPT -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
# İzin verilecek portlar
$IPT -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
# ICMP ping izin verme.
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Son olarak tüm trafiği kabul etme.
$IPT -A INPUT -j REJECT
###### Aşağıdaki kurallar OUTPUT iptable içindir. ######
## Loopback OUTPUT izin ver.
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISH,RELATED -j ACCEPT
# İzin verilecek portlar
# SMTP = 25
# DNS = 53
# HTTP = 80
# HTTPS = 443
# SSH = 22
$IPT -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
$IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp --dport 22 -j ACCEPT
# Pinglere izin ver.
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
# Son olarak OUTPUT trafiğini kabul etme.
$IPT -A OUTPUT -j REJECT
# Forwarding trafiği kabul etme.
$IPT -A FORWARD -j REJECT
21 Aralık 2015
Ubuntu IPTables (Linux IPTables) Firewall Ayarları - Bölüm 1
Güvenlik duvarı veya Ateş duvarı (Firewall), yerel ağlar üzerindeki kaynaklari diğer networkler üzerinden gelecek saldırılara karşı koruyan, iç ve dış ağlar arası ağ trafiğini tanımlayan kuralları denetleyen bir ağ geçidi çözümüdür. Kısaca belirtmek gerekirse, sistem gelen ve giden paketlerin kaderlerini belirler. IPTables da bu kuralları belirlemek için kullanılan bir yazılım aracıdır.
17 Aralık 2015
BTRisk iOS Mobil Uygulama Güvenlik Denetimi Eğitim Sunumu
BTRisk iOS Mobil Uygulama Denetimi Eğitim Sunumumuz yayınlandı.
Eğitimlerimizde kendi geliştirdiğimiz "BTRMOBILE" uygulamamızı kullanarak tüm mobil uygulama güvenlik konularını inceliyoruz.
Mobil uygulama denetimi eğitimlerimiz, web uygulama güvenliği denetimi eğitimlerimiz ve diğer güvenlik eğitimlerimiz için duyurularımızı takip ediniz.
Eğitimlerimizde kendi geliştirdiğimiz "BTRMOBILE" uygulamamızı kullanarak tüm mobil uygulama güvenlik konularını inceliyoruz.
Mobil uygulama denetimi eğitimlerimiz, web uygulama güvenliği denetimi eğitimlerimiz ve diğer güvenlik eğitimlerimiz için duyurularımızı takip ediniz.
13 Aralık 2015
Jmeter ile Sunucu Performansının Ölçülmesi
Daha önceki makalelerimizde Apache-Jmeter uygulmasını kullanarak nasıl yük testi gerçekleştirebileceğimizden bahsetmiştik. Bu makalemizde ise Apache-Jmeter eklentilerinin bize sunduğu imkanlar dahilinde yük testine tabi tutuğumuz sunucunumuzun performans bilgilerini anlık olarak nasıl izleyebileceğimizden bahsedeceğiz.
06 Aralık 2015
Raspberry Pi ile Casus Kamera
Bu makalede Raspberry pi ile bir casus kamera yapacağız. Herhangi firmaya fiziksel olarak girildikten sonra gizli olarak yerleştirilen cihaz, uzaktan istenilen alanların görüntülenmesine izin verecektir. Cihaz üzerinde özel olarak hazırlanmış kodlar yazarak izlemeye yardımcı olabilir. Bu kodlar yardımıyla her anı izlemeye gerek kalmadan görüntü işleyerek çalışma odasında sadece kişiler varken, sunucu odasında ise belli bir haraket varsa gibi durumlarda size uyarı iletilmesini sağlayabilirsiniz. Kod yazmadan da ekranda bir değişiklik olduğunda mail atmasını sağlayabilirsiniz.
29 Kasım 2015
Android SSL Pinning (Certificate Pinning) Hakkında Herşey - Bölüm 3
Android SSL pinning makalemizin üçüncü ve son bölümünde daha önceki iki bölümde uyguladığımız SSL pinning kontrolünü aşmanın yollarını araştıracağız, ve tabi ki aşacağız.
22 Kasım 2015
Android SSL Pinning (Certificate Pinning) Hakkında Herşey - Bölüm 2
Android SSL pinning makalemizin birinci bölümünde SSL altyapımızı oluşturmuştuk. Bu bölümde Android uygulamamızda SSL pinning işlemini uygulayacağız.
15 Kasım 2015
Android SSL Pinning (Certificate Pinning) Hakkında Herşey - Bölüm 1
Güvenlikçiler olarak SSL pinning bizi iki açıdan ilgilendiriyor; birincisi sızma testlerini yaparken işimizi güçleştiriyor, ikincisi ise araya girme (MITM) saldırılarına karşı uygulanması gerektiğine dair raporlarımızda yer alıyor. Makalemizin adı, Android SSL Pinning, çalışmamızın sınırlarını da çiziyor. Bu yazıda sadece Android ortamına değiniyoruz. iOS ortamına farklı bir makalede değineceğiz.
12 Kasım 2015
SNORT IDS (Saldırı Tespit Sistemi) Nedir?
Snort bir saldırı tespit sistemi olarak bilinir. Ancak yetenekli ellerde Snort bir ağ forensic aracı veya şüpheli durumların takip ve tespiti amacıyla çok etkili bir araç olarak kullanılabilir. Personel yetersizliği nedeniyle kurumların büyük çoğunluğu satın aldıkları ticari IDS veya IPS sistemlerini kullanırlar ve bu sistemlerin saldırı imzalarını güncellemekle yetinirler. Elbette bu güvenlik seviyesini artırır ama saldırı tespit süreci pek çok false positive üretmeye meyillidir. Ayrıca kurumlar kendi ihtiyaçlarına göre kuralları düzenleme ihtiyacındadırlar. Ancak yetkinlik ve/veya kullanılan aracın buna izin vermemesi IDS kaabiliyetini sınırlar.
08 Kasım 2015
BTRisk Android Mobil Uygulama Güvenlik Denetimi Eğitim Sunumu
BTRisk ve ISACA İstanbul işbirliği ile Vakıfbank ev sahipliğinde gerçekleştrilen "Android Mobil Uygulama Güvenlik Denetimi Eğitimi" sunumumuz aşağıdaki konu başlıklarından oluşmaktadır:
05 Kasım 2015
Burp Extension Geliştirme - 2
Burp Extension Geliştirme makalemize birinci bölümde kaldığımız yerden devam ediyoruz.
Makalenin can alıcı bölümü aslında aşağıda bulunan bölüm. Bu kod parçası anlamamız gereken temel nokta. Burada kullanılan interface’ler sadece bizim yukarıda belirttiğim ihtiyacımıza özel olarak kullandığımız interface’ler. Farklı ihtiyaçlar için diğer interface’lere de ihtiyaç olacağı açık. Hatta cookie’yi alıp bir HTTP başlığı olarak gönderilecek istek mesajının içine gömmenin dahi farklı yolları olmalı. Bu yüzden bu makaleyi sadece bir ısınma çalışması olarak okuyun, daha sonra interface’lerin sağladığı fonksiyonalitenin anlatıldığı Burp kaynaklarına (https://portswigger.net/burp/extender/api/index.html veya Burp Suite’in içindeki Extender modülü içinde yer alan API bilgileri) danışmanız lazım.
Makalenin can alıcı bölümü aslında aşağıda bulunan bölüm. Bu kod parçası anlamamız gereken temel nokta. Burada kullanılan interface’ler sadece bizim yukarıda belirttiğim ihtiyacımıza özel olarak kullandığımız interface’ler. Farklı ihtiyaçlar için diğer interface’lere de ihtiyaç olacağı açık. Hatta cookie’yi alıp bir HTTP başlığı olarak gönderilecek istek mesajının içine gömmenin dahi farklı yolları olmalı. Bu yüzden bu makaleyi sadece bir ısınma çalışması olarak okuyun, daha sonra interface’lerin sağladığı fonksiyonalitenin anlatıldığı Burp kaynaklarına (https://portswigger.net/burp/extender/api/index.html veya Burp Suite’in içindeki Extender modülü içinde yer alan API bilgileri) danışmanız lazım.
02 Kasım 2015
DVWA Security Lab ile Web Uygulama Güvenlik Testleri -2
DVWA Lab içerisinde çeşitli açıklıklar barındıran bir web uygulamasıdır. Owasp kuruluşu tarafından Php dilinde geliştirilen DVWA web uygulamalarındaki açıklıkların tespit edilmesinde eğitici nitelikte olmakla birlikte , yazılım geliştiriciler içinde güvenlik kod yazma alışkanlıkları kazandıracaktır.
29 Ekim 2015
DVWA Security Lab ile Web Uygulama Güvenlik Testleri -1
Dvwa(Damn vulnerable Web Application) Owasp tarafından hazırlanmış , içerisinde açıklık barındıran bir Web uygulamasıdır. Yetki sahibi olmadan uygulamalara sızmaya çalışmak yasal değildir , bu nedenden dolayı eğitim amaçlı hazırlanmış buna benzer test ortamlarını kullanmak gerekir. DVWA Security Lab’ın içerisinde barındırdığı açıklık türleri:
26 Ekim 2015
Burp Extension Geliştirme - 1
Bildiğiniz üzere Burp’ü manuel web uygulama denetimlerinde kullanıyoruz. Burp Suite temel imkanların yanı sıra bazı sofistike ihtiyaçlarımıza da cevap verebiliyor. Bunlardan birisi de şöyle bir senaryo olabilir; diyelim ki bir kaba kuvvet saldırısı yapmak, bir parolayı kırmak veya çok miktarda veri sızdırmak istiyorsunuz. Bunun için elbette kaba kuvvet saldırısını yapacağınız alanı belirlemeniz ve Intruder modülünde bu alan için ihtiyacınıza uygun payload çeşidini ve kaynaklarını belirlemelisiniz. Ancak bazen uygulama bu isteği iki adımda yapmanıza izin veriyor ve bir önceki adımda size gönderdiği tekil bir token’ı kaba kuvvet isteği içinde bir parametre olarak göndermenizi istiyor olabilir. Bu durumda Burp’ün Macro imkanı ile her bir Intruder isteği öncesinde birinci aşama istek gerçekleştirilebilir, Session Handling Rule imkanı ile de bu Macro kullanıldıktan sonra Intruder isteklerinin içinde giden parametre güncellenerek saldırı gerçekleştirilebilir. Bu kullanımın bu kadar açıklanması elbette konuya aşina olmayanlar için yeterli olmayacaktır. Bu konuya farklı bir makalemizde de değinebiliriz.
21 Ekim 2015
OWASP-Türkiye Mobil Güvenlik Çalıştayı Sunumu
BTRisk Android Uygulamalara Malware Yerleştirme Sunumu
BTRisk şirket ortağı Fatih Emiral, 14 Ekim 2015 tarihinde OWASP Türkiye tarafından düzenlenen ve AVEA LABS sponsorluğunda gerçekleştirilen MOBİL GÜVENLİK ÇALIŞTAYI etkinliğine katıldı.
Android Uygulamalara Zararlı Kod Yerleştirme konulu sunumuyla etkinliğe katılan Emiral, giderek artarak hedef haline gelen mobil cihazlara ilişkin uygulamalı bir zararlı yazılım geliştirme senaryosunu aktardı.
20 Ekim 2015
Backdoored Web Shells
Shell yüklendiği server üzerinde size site sahibinin yetkilerini veren bir scripttir.Bu yetkiler arasında dosya okuma ,yazma ve silme yetkileri bulunmaktadır.Dinamik diller kullanılarak yazılıp internet ortamında paylaşılmış birçok shell uygulamasında (c99,r57,c100,Zehir4 vb) backdoor bulunmaktadır. Bu sheller herhangi bir servera isteyerek veya server sahibinin bilgisi dışında açıklık bulunup yüklendiği zaman içerisindeki kodlar sayesinde geliştiren kişilere yüklendiği bu server hakkında bilgi gönderip , geliştirici bu kişilerinde bu server’a sizden habersiz erişebilmesini sağlamaktadır.
14 Ekim 2015
İnternet İçerik Hırsızları ile Mücadele ve Google
Fatih Emiral’ın kaleme aldığı yazı internet içerik hırsızları mağdurları için önemli bilgiler içeriyor…
13 Ekim 2015
Metasploit Kullanarak Trojan-Backdoor Nasıl Yapılır? - Trojan-Backdoor Yapma
Penetrasyon testlerinde, sistemlerin ve kullanıcıların zafiyetlerinden yararlanarak trojan-backdoor kullanılabilmektedir. Bu makalede bazı antivirus programlarına yakalanmadan kali linux üzerinden backdoor payload oluşturarak kurban bilgisayarına nasıl sızılacağından bahsedeceğiz. Böylece kurban bilgisayarı üzerinde tam kontrol sağlanabilecektir.
Metasploit Framework kullanarak bir arka kapı oluşturabiliriz. Hedef sistemi belirledikten sonra Metaspolit Framework araçını kullanarak Windows(x32/x64) ve Linux işletim sistemi için çalıştırabilir bir dosya üreteceğiz.
05 Ekim 2015
Wireshark Nedir
Wireshark Kullanımı
Wireshark network paket analizi yapabilmek için geliştirilmiş bir araçtır.
Wireshark network paketlerini yakalamak ve paketlerin içeriklerini detaylı bir şekilde görüntülemek için kullanılır.
Wireshark aracı ücretsizdir. Wireshark aracı aşağıdaki linkten uygun işletim sistemi seçilerek indirilebilir.
Wireshark oldukça geniş bir kullanıcı kitlesine hitap etmektedir. Sistem yöneticileri, bilgi güvenliği ile ilgili kullanıcılar ve programlama ile uğraşan kullanıcılar gibi birçok kullanıcı tarafından kullanılmaktadır.
Wireshark kullanıcı arayüzü aşağıdaki gibidir.
Kullanıma başlamadan önce izlenecek ağ arayüzü (ethernet, wifi v.b.) seçilmelidir. Klasik kullanıcı olarak düşünürsek 192.168.1.52 IP adresine sahip kutucuk işaretlenmelidir.
özellikleri, görünüm özellikleri uygulama durdurmak için ayarlanacak özellikler
gibi bir çok ayarlanabilir özellik seçilebilir.
Ardından tarayıcımızdan bir istek yaparak (Örneğin: www.btrisk.com) paket incelemesi yapılacak ekrana ulaşılır.
Standart kullanıcıların en çok kullandığı sekme olan Analyze sekmesi hakkında bilgileri aşağıda bulabilirsiniz.
Decode As: Paketleri belirli protokollere göre decode eder.
Enabled Protocols: Yakalama işlemi sırasında istenmeyen protokollerin kaldırılmasına imkan verir.
User Specified Decodes: Hali hazırda var olan çevrimleri görüntüler.
Follow TCP Stream: Seçilen paketle ilgili tcp bağlantılarının tüm tcp segmentlerini ayrı bir pencerede gösterir.
Follow SSL Stream: Follow TCP stream ile aynı özelliktedir fakat SSL stream için çalışır.
Expert Info: İletişimde meydana gelen olayların kayıt sistemidir.Yakalanan paketleri errors,notes,warnings,chats, details ve packet coments gibi seçeneklere göre ayırır.
Standart kullanıcılar için Wireshark’ ın en önemli özelliklerinden birisi filtreleme özelliğidir. Filtre özelliği sayesinde paket dinleme sırasında istenilen özellikleri taşıyan paketleri görüntülenebilir.
Burada ilgili arama için “tcp” kelimesi yazılmıştır.
Daha kapsamlı aramalar için aşağıdaki ifadeler kullanılabilir.
Wireshark kullanımı için daha kapsamlı bilgi için https://www.wireshark.org/docs/ adresinden daha detaylı bilgi
edinebilirsiniz.
30 Eylül 2015
ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu
ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.
28 Eylül 2015
Raspberry Pi Üzerine Kali Kurulumu
Bazı firmalar güvenlik için dışarıdan pc kabul etmemektedir. Raspberry Pi gibi küçük cihazlar içeriye girdikten sonra pc yerine kullanılabilir. Saldırganlar ağa dahil olmak için kablo ya da Raspberry Pi cihazı üzerine wireless modul yerleştirerek hedeflerine ulaşmada araç olarak kullanalabilir.
Daha önceki yayınladağımız Mr. Robot - Raspberry Pi 2 ile Shell Açma makalesinde Raspberry Pi 2 cihazına shell açma konusuna değinmiştik. Bu yazıda Raspberry Pi cihazına Kali gibi bir işletim sisteminin nasıl kurulacağından bahsedeceğiz.
21 Eylül 2015
Mobil Uygulama Denetimi Eğitimi
Katılımcıların mobil uygulamalarla ilgili statik ve dinamik analiz yapabilmelerini ve istemci tarafında oluşabilecek açıklıkları tespit edebilmelerini hedeflemektedir. Mobil uygulamaların kullandığı HTTP servisleri ile ilgili açıklık türleri ve testler Mobil Uygulamalar Güvenlik Denetimi Eğitimi’nin kapsamında değildir.
Eğitim kapsamı iOS ve Android cihaz uygulamalarına odaklıdır.
Tedarikçi Bilgi Güvenliği Denetim Rehberi
Tedarikçi Bilgi Güvenliği Denetim İhtiyacı
Günümüzde kurumlar, ihtiyaçlarının artmasıyla birlikte bünyelerinde oluşan iş ihtiyaçlarına karşılık verememekte ve dış kaynak kullanımına ihtiyaç duymaktadır. Dış kaynak kullanımı yazılım geliştirme, bilgi sistem varlıklarını satın alma, internet altyapısı v.b. konularda öne çıkmaktadır. Tedarikçi bilgi güvenliği denetim ihtiyacı gün geçtikçe daha da belirginleşmektedir.
Kurumlar kendi içlerinde bilgi güvenliği kontrollerini uygulamaya çalışırken tedarikçiler ile yapılan çalışmalarda bilgi güvenliği kontrollerini çoğu zaman göz ardı etmektedir. Tedarikçiler kod geliştirme ve çalıştırma, kurum bünyesinde kurum çalışanı ile aynı fiziksel giriş kontrollerine sahip olma, kuruma uzaktan bağlantı kurma gibi ayrıcalıklı haklara sahip olabilmektedir.
Bu yazımızda kurumların tedarikçileri ile çalışırken bilgi güvenliği anlamında dikkat etmesi gereken hususlar ISO27002:2013 kontrolleri göz önünde bulundurularak anlatılmıştır.
Tedarik süreci ve tedarikçiler ile ilgili kontroller aşağıdaki kontrol madde başlıklarında geçmektedir.
5.1.1 Policies for information security
6.1.1 Information security roles and responsibilities
12.5.1 Installation of software on operational systems
13.1.2 Security of network services
13.1.3 Segregation in networks
14.1.1 Information security requirements analysis and specification
14.2.1 Secure development policy
14.2.4 Restrictions on changes to software packages
14.2.5 Secure system engineering principles
14.2.7 Outsourced development
14.2.8 System security testing
14.2.9 System acceptance testing
15.1.1 Information security policy for supplier relationships
15.1.2 Addressing security within supplier agreements
15.1.3 Information and communication technology supply chain
15.2.1 Monitoring and review of supplier services
15.2.2 Managing changes to supplier services
18.1.2 Intellectual property rights
18.1.4 Privacy and protection of personally identifiable information
Yukarıdaki sıralamada görüldüğü üzere tedarikçi kontrolleri ISO27002:2013 kontrol listesinde önemli yer kaplamaktadır.
Tedarikçi ilişkileri ile ilgili yapılması gereken kontrolleri aşağıda bulabilirsiniz.
İlk olarak göz önünde bulundurulması gereken kontrol kuruma ait bilgi güvenliği politikasının tedarikçi yönetim politikasını içermesi konusudur. Tedarikçiler ile ilgili kontroller bu kısımda yazıya dökülmüş halde olsalar bile alt politika ve prosedürler ile detaylı olarak ele alınmalıdır.
Tedarikçi ilişkileri bilgi güvenliği politikası:
- organizasyon varlıklarına erişimi olan tedarikçi tiplerinin belirlenmesini ve dokümante edilmesini,
- tedarikçi ilişkileri yönetimi için standart bir süreç ve yaşam döngüsü tanımlanmasını,
- farklı tedarikçi tiplerinin erişebileceği organizasyonel veri tiplerinin tanımlanmasını, bu erişimlerin izlenmesini ve kontrolünü gerektirmesini,
- veri tipi ve veri erişim yöntemi için sağlanması gereken minimum bilgi güvenliği gereksinimlerinin tanımlamasını,
- her iki taraf için de işlenen ve saklanan verilerin doğruluğu ve tamlığı için veri bütünlüğü kontrollerini,
- tedarikçilere organizasyonun bilgi varlıklarını korumaları için gerekli kontrolleri,
- tedarikçi erişimleri ile ilgili oluşabilecek güvenlik olaylarını ele alma sorumluluklarını,
- yedeklilik ve felaket kurtarma kontrollerini uygulamasını,
- tedarikçi seçimi ve tedarik sürecini yönetecek personelin farkındalık eğitimi almalarını,
- tedarikçi hizmetlerinin kullanımına başlayabilmek için gerekli veri, sistem ve diğer tüm taşımaların yönetilmesini, geçiş periyodunda bilgi güvenliğinin sağlanmasını gerektirmesini içermelidir.
Tedarik edilmiş uygulama veya sistem yazılımı güncellemelerinden önce gerekli testlerin gerçekleştirildiğinden emin olunmalıdır. Bu kontrole ek olarak sistem güncellemelerinden sonra da gerekli güvenlik testleri de uygulanmalıdır.
Tedarik edilmiş ve hali hazırda kullanılan yazılımların üreticileri tarafından desteklenen versiyon seviyesinde tutulduğundan emin olunmalıdır.
Yazılım tedarikçilerine verilen fiziksel ve mantıksal erişimlerin yönetim tarafından onaylanmış olması sağlanmalı ve periyodik olarak verilen erişim hakları kontrol edilmelidir. Kurumlar genel olarak özellikle yazılım tedarikçilerine verilen yetkileri periyodik olarak kontrol etmemekte ve bu durum olası güvenlik zafiyetlerine sebep olmaktadır.
Yazılım tedarikçilerinin destek faaliyetleri (ör: tedarikçi personelinin sistem üzerinde çalıştırdığı komutların iz kayıtlarının tutulması ve incelenmesi gibi) izlenmelidir.
Tedarikçiler ile yapılan anlaşmalarda alınan hizmetle ilgili olarak güvenlik kontrol gereksinimleri, hizmet seviyeleri ve yönetim gereksinimleri belirtilmelidir.
Ağ hizmet sağlayıcısı seçiminde, tedarikçinin sağlayacağı hizmetleri güvenli biçimde sağlama yetkinliğine sahip olup olmadığı değerlendirilmeli ve hizmet sözleşmesinde denetim hakkı belirtilmelidir.
Tedarik edilen sistemler için bilgi güvenliği gereksinimlerine uygunluğu güvence altına alacak resmi test ve kabul süreçleri uygulanmalıdır.
Tedarik edilen sistemlerin barındırdığı ihtiyaç duyulmayan fonksiyonlar değerlendirilmeli ve güvenlik riski oluşturacaklarına karar verildiğinde geçersiz hale getirilmelidir.
Yazılım geliştirme sırasında dış kaynak kullanımının gerekli olduğu durumlarda tedarikçi firmanın güvenli yazılım geliştirme kurallarını uyguladığından emin olunmalıdır.
Tedarik edilen hazır yazılım paketlerinde yapılacak olan değişikliklerden önce kurum içinde yapılacak olan güvenlik ve olası akmalara karşı kontrollerde tedarikçilerin görüşleri de alınmalıdır.
Ürün ve hizmet tedarikçilerinin güvenli sistem mühendislik prensiplerini en az organizasyonun seviyesinde uygulayıp uygulamadıkları denetlenmelidir.
Dış kaynak kullanılarak geliştirilen yazılımlar için geliştirilen tehdit modeli ve bu modele karşılık geliştirilmesi gereken kontroller tedarikçi firmaya iletilmedir.
Dış kaynak kullanılarak geliştirilen yazılımların kaynak kodları kurumun erişiminde olmayacaksa kaynak kodlarının güncel versiyonları tedarikçi firmanın destek faaliyetine herhangi bir nedenle devam edememesi riskine karşı belirlenen bir yeddieminde muhafaza edilmesi garanti altına alınmalıdır.
Tedarik edilen yazılımlar için yazılım geliştirme ve derleme ortamına ilişkin bilgilerin tedarikçi firma tarafından dokümante edilmesi ve tedarikçi firmadan teslim alınması sağlanmalıdır.
Tedarik edilen yazılımlar için kullanıcı kabul testleri gerçekleştirilmedir.
Tedarikçi sözleşmelerinde sağlanacak veya erişilecek bilgilerin tanımları ile bu bilgilerin sağlanma veya erişim metodları belirtilmelidir.
Tedarikçi sözleşmelerinde paylaşılacak olan bilgilerin kabul edilebilir kullanım kuralları ve gerekiyorsa kabul edilemez kullanım durumları belirtilmelidir.
Tedarikçi sözleşmelerinde bilgilere erişecek tedarikçi personelinin listesi veya erişim yetkilendirme ve yetki kaldırma prosedürleri belirtilmelidir.
Tedarikçi sözleşmelerinde bilgi güvenliği olay müdahale prosedürleri (özellikle olay bildirimi ve olay müdahalesinde işbirliği kuralları) belirtilmelidir.
Tedarikçi sözleşmelerinde tedarikçilerin periyodik olarak bağımsız iç kontrol denetim geçirmeleri ve raporlarını teslim etmeleri istenmelidir.
Tedarikçi sözleşmelerinde tedarikçi hizmet ve üretim süreçlerinde yaşanabilecek kesintilere karşı uygulanacak süreklilik prosedürleri belirtilmelidir.
Tedarikçi sözleşmelerinde, tedarikçilerin bilgi ve iletişim teknolojileri hizmet ve ürün tedarik zincirleriyle ilgili bilgi güvenliği risklerine ilişkin gereksinimler yer almalıdır. Tedarikçilerin alt yüklenici kullanması söz konusu olacağından kendi tedarikçi ilişkileri ile ilgili kontroller önem kazanmaktadır.
Tedarikçi sözleşmelerinde teslim edilecek olan ürünlerin beklendiği gibi çalışacakları ve beklenmeyen / istenmeyen işlevlere sahip olmayacakları güvence altına alınmalıdır.
Tedarikçi hizmetleri yönetim süreci tedarikçilerin hizmet içerik ve kapasitesinin yeterliliğinden ve herhangi bir hizmet kesintisi veya felaket durumunda uygulanabilir iş sürekliliği planlarına sahip olduklarından emin olunmasını gerektirmelidir.
Tedarikçi hizmetlerindeki değişiklikler, hizmet kapsamına giren sistem ve süreçlerin kritikliğine bağlı olarak, yeniden risk analizi yapılması suretiyle değişen bilgi güvenliği ihtiyaçları açısından yönetilmelidir.
Tedarik edilen yazılımlar lisans haklarının ihlal edilmediğinden emin olmak için sadece itibarlı/güvenilen kaynaklardan tedarik edilmelidir.
Tedarikçiler ile ilgili kontroller tabi ki anlatılanlar ile sınırlı kalmayacaktır. Bahsi geçen kontrol maddeleri daha da genişletilebilir. Yukarıda bahsi geçen kontroller ISO27001:2013 standardına göre hazırlanmıştır. Kuruma ait iş ihtiyaçlarına uygun olarak diğer standartlarda geçen kontroller de eklenebilir.
BTRisk firması olarak bilgi güvenliği anlamında tedarikçi denetimi yapmakta, uygulama risklerinin geliştirme sırasında bertaraf edilebilmesi için güvenli yazılım geliştirme danışmanlığı sağlamaktayız.