30 Eylül 2015

ISO 27001:2013 Bilgilendirme ve İç Denetim Eğitimi Sunumu



ISO27001, bilgi güvenliği problemlerinin ele alınmasını ve yönetilmesini destekleyen bir yönetim sistemi standardıdır. Belgelendirmeye tabi tutulması, düzenleyiciler tarafından düzenlemelere konu edilmesi, bilgi paylaşımını gerektiren tedarik süreçlerinde şartname şartlarından biri haline gelmesi nedeniyle popülerliği gittikçe artan bir standarttır.

28 Eylül 2015

Raspberry Pi Üzerine Kali Kurulumu

 Bazı firmalar güvenlik için dışarıdan pc kabul etmemektedir. Raspberry Pi gibi küçük cihazlar içeriye girdikten sonra pc yerine kullanılabilir. Saldırganlar ağa dahil olmak için kablo ya da Raspberry Pi cihazı üzerine wireless modul yerleştirerek hedeflerine ulaşmada araç olarak kullanalabilir. 

Daha önceki yayınladağımız Mr. Robot - Raspberry Pi 2 ile Shell Açma makalesinde Raspberry Pi 2 cihazına shell açma konusuna değinmiştik. Bu yazıda Raspberry Pi cihazına Kali gibi bir işletim sisteminin nasıl kurulacağından bahsedeceğiz.

21 Eylül 2015

Mobil Uygulama Denetimi Eğitimi

Mobil Uygulama Denetimi Eğitimi
Katılımcıların mobil uygulamalarla ilgili statik ve dinamik analiz yapabilmelerini ve istemci tarafında oluşabilecek açıklıkları tespit edebilmelerini hedeflemektedir. Mobil uygulamaların kullandığı HTTP servisleri ile ilgili açıklık türleri ve testler Mobil Uygulamalar Güvenlik Denetimi Eğitimi’nin kapsamında değildir.
Eğitim kapsamı iOS ve Android cihaz uygulamalarına odaklıdır.

Tedarikçi Bilgi Güvenliği Denetim Rehberi

BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri

Tedarikçi Bilgi Güvenliği Denetim İhtiyacı


Günümüzde kurumlar, ihtiyaçlarının artmasıyla birlikte bünyelerinde oluşan iş ihtiyaçlarına karşılık verememekte ve dış kaynak kullanımına ihtiyaç duymaktadır. Dış kaynak kullanımı yazılım geliştirme, bilgi sistem varlıklarını satın alma, internet altyapısı v.b. konularda öne çıkmaktadır. Tedarikçi bilgi güvenliği denetim ihtiyacı gün geçtikçe daha da belirginleşmektedir.

Kurumlar kendi içlerinde bilgi güvenliği kontrollerini uygulamaya çalışırken tedarikçiler ile yapılan çalışmalarda bilgi güvenliği kontrollerini çoğu zaman göz ardı etmektedir. Tedarikçiler kod geliştirme ve çalıştırma, kurum bünyesinde kurum çalışanı ile aynı fiziksel giriş kontrollerine sahip olma, kuruma uzaktan bağlantı kurma gibi ayrıcalıklı haklara sahip olabilmektedir.

Bu yazımızda kurumların tedarikçileri ile çalışırken bilgi güvenliği anlamında dikkat etmesi gereken hususlar ISO27002:2013 kontrolleri göz önünde bulundurularak anlatılmıştır.

Tedarik süreci ve tedarikçiler ile ilgili kontroller aşağıdaki kontrol madde başlıklarında geçmektedir.

5.1.1 Policies for information security
6.1.1 Information security roles and responsibilities
12.5.1 Installation of software on operational systems
13.1.2 Security of network services
13.1.3 Segregation in networks
14.1.1 Information security requirements analysis and specification
14.2.1 Secure development policy
14.2.4 Restrictions on changes to software packages
14.2.5 Secure system engineering principles
14.2.7 Outsourced development
14.2.8 System security testing
14.2.9 System acceptance testing
15.1.1 Information security policy for supplier relationships
15.1.2 Addressing security within supplier agreements
15.1.3 Information and communication technology supply chain
15.2.1 Monitoring and review of supplier services
15.2.2 Managing changes to supplier services
18.1.2 Intellectual property rights
18.1.4 Privacy and protection of personally identifiable information

Yukarıdaki sıralamada görüldüğü üzere tedarikçi kontrolleri ISO27002:2013 kontrol listesinde önemli yer kaplamaktadır.

Tedarikçi ilişkileri ile ilgili yapılması gereken kontrolleri aşağıda bulabilirsiniz.
İlk olarak göz önünde bulundurulması gereken kontrol kuruma ait bilgi güvenliği politikasının tedarikçi yönetim politikasını içermesi konusudur. Tedarikçiler ile ilgili kontroller bu kısımda yazıya dökülmüş halde olsalar bile alt politika ve prosedürler ile detaylı olarak ele alınmalıdır.

Tedarikçi ilişkileri bilgi güvenliği politikası:

  • organizasyon varlıklarına erişimi olan tedarikçi tiplerinin belirlenmesini ve dokümante edilmesini,
  • tedarikçi ilişkileri yönetimi için standart bir süreç ve yaşam döngüsü tanımlanmasını,
  • farklı tedarikçi tiplerinin erişebileceği organizasyonel veri tiplerinin tanımlanmasını, bu erişimlerin izlenmesini ve kontrolünü gerektirmesini,
  • veri tipi ve veri erişim yöntemi için sağlanması gereken minimum bilgi güvenliği gereksinimlerinin tanımlamasını,
  • her iki taraf için de işlenen ve saklanan verilerin doğruluğu ve tamlığı için veri bütünlüğü kontrollerini,
  • tedarikçilere organizasyonun bilgi varlıklarını korumaları için gerekli kontrolleri,
  • tedarikçi erişimleri ile ilgili oluşabilecek güvenlik olaylarını ele alma sorumluluklarını,
  • yedeklilik ve felaket kurtarma kontrollerini uygulamasını,
  • tedarikçi seçimi ve tedarik sürecini yönetecek personelin farkındalık eğitimi almalarını,
  • tedarikçi hizmetlerinin kullanımına başlayabilmek için gerekli veri, sistem ve diğer tüm taşımaların yönetilmesini, geçiş periyodunda bilgi güvenliğinin sağlanmasını gerektirmesini içermelidir.

Tedarik edilmiş uygulama veya sistem yazılımı güncellemelerinden önce gerekli testlerin gerçekleştirildiğinden emin olunmalıdır. Bu kontrole ek olarak sistem güncellemelerinden sonra da gerekli güvenlik testleri de uygulanmalıdır.

Tedarik edilmiş ve hali hazırda kullanılan yazılımların üreticileri tarafından desteklenen versiyon seviyesinde tutulduğundan emin olunmalıdır.

Yazılım tedarikçilerine verilen fiziksel ve mantıksal erişimlerin yönetim tarafından onaylanmış olması sağlanmalı ve periyodik olarak verilen erişim hakları kontrol edilmelidir. Kurumlar genel olarak özellikle yazılım tedarikçilerine verilen yetkileri periyodik olarak kontrol etmemekte ve bu durum olası güvenlik zafiyetlerine sebep olmaktadır.

Yazılım tedarikçilerinin destek faaliyetleri (ör: tedarikçi personelinin sistem üzerinde çalıştırdığı komutların iz kayıtlarının tutulması ve incelenmesi gibi) izlenmelidir.

Tedarikçiler ile yapılan anlaşmalarda alınan hizmetle ilgili olarak güvenlik kontrol gereksinimleri, hizmet seviyeleri ve yönetim gereksinimleri belirtilmelidir.

Ağ hizmet sağlayıcısı seçiminde, tedarikçinin sağlayacağı hizmetleri güvenli biçimde sağlama yetkinliğine sahip olup olmadığı değerlendirilmeli ve hizmet sözleşmesinde denetim hakkı belirtilmelidir.

Tedarik edilen sistemler için bilgi güvenliği gereksinimlerine uygunluğu güvence altına alacak resmi test ve kabul süreçleri uygulanmalıdır.

Tedarik edilen sistemlerin barındırdığı ihtiyaç duyulmayan fonksiyonlar değerlendirilmeli ve güvenlik riski oluşturacaklarına karar verildiğinde geçersiz hale getirilmelidir.

Yazılım geliştirme sırasında dış kaynak kullanımının gerekli olduğu durumlarda tedarikçi firmanın güvenli yazılım geliştirme kurallarını uyguladığından emin olunmalıdır.

Tedarik edilen hazır yazılım paketlerinde yapılacak olan değişikliklerden önce kurum içinde yapılacak olan güvenlik ve olası akmalara karşı kontrollerde tedarikçilerin görüşleri de alınmalıdır.

Ürün ve hizmet tedarikçilerinin güvenli sistem mühendislik prensiplerini en az organizasyonun seviyesinde uygulayıp uygulamadıkları denetlenmelidir.

Dış kaynak kullanılarak geliştirilen yazılımlar için geliştirilen tehdit modeli ve bu modele karşılık geliştirilmesi gereken kontroller tedarikçi firmaya iletilmedir.

Dış kaynak kullanılarak geliştirilen yazılımların kaynak kodları kurumun erişiminde olmayacaksa kaynak kodlarının güncel versiyonları tedarikçi firmanın destek faaliyetine herhangi bir nedenle devam edememesi riskine karşı belirlenen bir yeddieminde muhafaza edilmesi garanti altına alınmalıdır.

Tedarik edilen yazılımlar için yazılım geliştirme ve derleme ortamına ilişkin bilgilerin tedarikçi firma tarafından dokümante edilmesi ve tedarikçi firmadan teslim alınması sağlanmalıdır.

Tedarik edilen yazılımlar için kullanıcı kabul testleri gerçekleştirilmedir.

Tedarikçi sözleşmelerinde sağlanacak veya erişilecek bilgilerin tanımları ile bu bilgilerin sağlanma veya erişim metodları belirtilmelidir.

Tedarikçi sözleşmelerinde paylaşılacak olan bilgilerin kabul edilebilir kullanım kuralları ve gerekiyorsa kabul edilemez kullanım durumları belirtilmelidir.

Tedarikçi sözleşmelerinde bilgilere erişecek tedarikçi personelinin listesi veya erişim yetkilendirme ve yetki kaldırma prosedürleri belirtilmelidir.

Tedarikçi sözleşmelerinde bilgi güvenliği olay müdahale prosedürleri (özellikle olay bildirimi ve olay müdahalesinde işbirliği kuralları) belirtilmelidir.

Tedarikçi sözleşmelerinde tedarikçilerin periyodik olarak bağımsız iç kontrol denetim geçirmeleri ve raporlarını teslim etmeleri istenmelidir.

Tedarikçi sözleşmelerinde tedarikçi hizmet ve üretim süreçlerinde yaşanabilecek kesintilere karşı uygulanacak süreklilik prosedürleri belirtilmelidir.

Tedarikçi sözleşmelerinde, tedarikçilerin bilgi ve iletişim teknolojileri hizmet ve ürün tedarik zincirleriyle ilgili bilgi güvenliği risklerine ilişkin gereksinimler yer almalıdır. Tedarikçilerin alt yüklenici kullanması söz konusu olacağından kendi tedarikçi ilişkileri ile ilgili kontroller önem kazanmaktadır.

Tedarikçi sözleşmelerinde teslim edilecek olan ürünlerin beklendiği gibi çalışacakları ve beklenmeyen / istenmeyen işlevlere sahip olmayacakları güvence altına alınmalıdır.

Tedarikçi hizmetleri yönetim süreci tedarikçilerin hizmet içerik ve kapasitesinin yeterliliğinden ve herhangi bir hizmet kesintisi veya felaket durumunda uygulanabilir iş sürekliliği planlarına sahip olduklarından emin olunmasını gerektirmelidir.

Tedarikçi hizmetlerindeki değişiklikler, hizmet kapsamına giren sistem ve süreçlerin kritikliğine bağlı olarak, yeniden risk analizi yapılması suretiyle değişen bilgi güvenliği ihtiyaçları açısından yönetilmelidir.

Tedarik edilen yazılımlar lisans haklarının ihlal edilmediğinden emin olmak için sadece itibarlı/güvenilen kaynaklardan tedarik edilmelidir.

Tedarikçiler ile ilgili kontroller tabi ki anlatılanlar ile sınırlı kalmayacaktır. Bahsi geçen kontrol maddeleri daha da genişletilebilir. Yukarıda bahsi geçen kontroller ISO27001:2013 standardına göre hazırlanmıştır. Kuruma ait iş ihtiyaçlarına uygun olarak diğer standartlarda geçen kontroller de eklenebilir.

BTRisk firması olarak bilgi güvenliği anlamında tedarikçi denetimi yapmakta, uygulama risklerinin geliştirme sırasında bertaraf edilebilmesi için güvenli yazılım geliştirme danışmanlığı sağlamaktayız.

10 Eylül 2015

Port Tarama Araçları ve Yöntemleri

Canlı sunucu ve cihazların tespiti, bunun sonrasında port tarama işlemlerinin gerçekleştirilmesi standart pentest çalışmalarının ilk adımlarındandır. Bu işlemler aynı zamanda temel ağ teknoloji bilgisine de sahip olunmasını gerektirmektedir. Port tarama yöntemleri adlı bu makalemizde bu temel teknikleri geniş şekilde inceledik.

09 Eylül 2015

Android Uygulamalara Malware Yerleştirme - Bölüm 3

Android uygulamalara malware yerleştirme makalemize bir önceki bölümde kaldığımız yerden devam ediyoruz.

Önceki bölümde malware yazılımımız çalıştığına göre artık taşıyıcı uygulama üzerindeki operasyona başlayabiliriz.

05 Eylül 2015

Android Uygulamalara Malware Yerleştirme - Bölüm 2

Android uygulamalara malware yerleştirme makalemize bir önceki bölümde kaldığımız yerden devam ediyoruz.

Bu bölümde ilk olarak BtriskSMSHacker isimli bir Android projesi geliştireceğiz. BTRİSK adını biraz fazla vurguladığım için kusura bakmayın, makalelerimizi kopyalayan meczuplar çıkmaya başladığı için bunu yapmak zorundayım. Bu paragrafı çıkarsalar bile ekran görüntülerinden temizleyemeyecekler :)

04 Eylül 2015

BTRWATCH ile ISO27001 Bilgi Güvenliği Risk Analizi Nasıl Yapılır? (Bölüm - 2)

ISO-27001 Risk Analizi Modülü


Bir önceki makalemizde BTRWATCH platformunda ISO27001:2013 risk analizi dönemi oluşturma, ISO27001:2013 kontrollerinin uygulanabilirlik durumlarını belirleme ve uygulanabilir kontrolleri kullanıcılara atama işlemlerinin nasıl yapılacağını anlattık. Bu makalemizde ise ISO27001:2013 kontrol soruları atadığımız kullanıcıların soruları nasıl yanıtlayacağı ve risk senaryolarını nasıl oluşturacaklarını anlatacağız.

Kullanıcılara Kontrol sorularını atadığımızda kullanıcılara e-posta ile bildirim yapılır. Ayrıca kullanıcı sisteme giriş yaptığında da kendisine kontrol sorusu atandığı bildirimini alır.

01 Eylül 2015

BTRisk Hizmet ve Ürünleri Sunumu



BTRiskBLOG, BTRİSK Bilgi Güvenliği ve BT Yönetişim Hizmetleri şirketi personeli tarafından geliştirilen Pentest (Sızma Testi), ISO27001, BT Denetimi ve bilgi güvenliği hakkında herşeyi bulabileceğiniz blog'dur.