aad57efa3b.jpg

Analiz, Test ve Uyumluluk

Barikat’ın bilişim güvenliği alanında yer alan analiz, test ve uyumluluk hizmetleri bütünüdür.

Ağ Trafiği Zararlı Kod ve Yasaklı Aktivite Analizi

Kurum merkezindeki internet erişim trafiğinin aşağıdaki başlıklar üzerinden analiz edilmesi hizmetidir:

  • Zararlı kod aktivitelerinin tespit edilmesi,
  • Zararlı kod iletişim kanal aktivitelerinin tespit edilmesi,
  • Tünellenmiş ağ trafiğinin tespit edilmesi,
  • Protokol anormalliklerinin tespit edilmesi,
  • Şifrelenmemiş protokoller üzerinden parola kullanımlarının tespit edilmesi.

Barikat bu hizmet kapsamında, yasaklı aktivite sergileyen belirli IP adreslerinin neden olduğu tüm internet ağ aktivitesinin analiz süresi boyunca kayıt altına alınması, ağ trafiği analizinin, belirlenen süre boyunca kesintisiz olarak gerçekleştirilmesi ve analiz sonucu elde edilen bulguların, risk analizi ve bulgu eylem planıyla birlikte kuruma raporlanması faaliyetlerini gerçekleştirecektir.

Ağ ve Sistem Risk (Teknolojik Risk) Analizi

Kurum gereksinimlerine uygun olarak hazırlanan risk analiz metodolojisiyle, BT sistemlerindeki DoS saldırılarından dolayı hizmetlerin kesintiye uğraması gibi teknolojik risklerin, tespit edilmiş güvenlik açıkları, tehdit, zafiyet, etki ve gerçekleşme olasılığı değerleri dikkate alınarak belirlenmesi ve önceliklendirilmiş teknolojik risklerin raporlanması hizmetidir.

Teknolojik riskler, ağ ve sistem bileşenlerinin hatalı tasarlanmış sistem mimarileri, hatalı modellemeler, güvenlik zafiyetleri, iletişim problemi, yazılım ve/veya donanım hataları, veri ve sistem kayıpları gibi nedenlerden dolayı ortaya çıkabilmektedir.

Değişen ve gelişen teknoloji nedeniyle kurum ve kuruluşların karşı karşıya kaldıkları teknolojik riskler her geçen gün değişip, karmaşıklaşmaktadır. Teknolojik risk analizi sonuçları, hızla değişip karmaşıklaşan teknolojik risklere karşı kurum ve kuruluşların alacakları önlemleri ve bu amaçla yapacakları yatırımları daha isabetli olarak belirlemelerini sağlar.

Barikat bu hizmet kapsamında, tanımlanmış ve değer analizi yapılmış BT varlıklarını ve bu varlıklar ile ilgili tespit edilmiş güvenlik açıklarını (sızma testi, zafiyet testi, yazılım kod testi, sistem yapılandırma analizi vs.) listelerini/raporlarını girdi olarak kullanarak, kapsam dahilindeki sistemi etkileyecek olası tehditleri belirleme; tehditlerin gerçekleşme olasılığı ve etkileri analiz edilerek, tehditleri mevcut zafiyetlerle ilişkilendirme; tanımlanan teknolojik riskler için risk skorları hesaplama ve kurumun risk yönetim metodolojisine bağlı olarak, belirlenen risklerin önceliklendirilmesi ve raporlanması faaliyetlerini gerçekleştirecektir.

Barikat İzleme Hizmeti

Barikat İzleme Hizmeti; bir kurum bünyesinde aktif olarak çalışmakta olan ağ, sunucu, istemci, veri tabanı ve güvenlik cihazlarının Barikat mühendisleri tarafından ilgili kurumla yapılan anlaşmaya bağlı maddeler kapsamında izlenmesi hizmetidir. İzlenmekte olan kurumdaki cihazların konfigüre edildiği gibi çalışmaması, kaynak tüketimi, herhangi bir güvenlik ihlali girişimi ya da güvenlik ihlali  ve benzeri sıkıntıların kuruma SMS, eposta ve telefon yoluyla anında bilgi verilmesini kapsar. 

İzleme Hizmeti’nin başarılı olarak verilebilmesi için kurumda Barikat’ın; log yönetimi / analiz sistemi, kurulumu & entegrasyonu, performans & erişilebilirlik izleme sistemi kurulumu ve entegrasyonu gibi uygulamaları önceden yerine getirmesi gereklidir. Bu uygulamalar sonrasında log analizi, performans ve erişilebilirlik takibi, bilgi güvenliği olay tespit ve bildirimi ve log yönetim / analiz ve erişilebilirlik izleme sistemleri gibi başlıkların ışığında sistem bütünüyle analiz edilir.  Analiz edilen sistemle ilgili haftalık olarak sistem ve güvenlik durumunu belirten detaylı raporlar oluşturulur. Olası sıkıntılar ve olumsuzluklar kuruma ve Barikat Teknik Destek ekibine raporlanır.  Sıkıntı yaratan cihazların Barikat tarafından desteği verilmekte olan cihazlar olması durumunda,  sıkıntının çağrısı Barikat Teknik Destek ekibinde otomatik olarak açılır ve sıkıntı en kısa sürede giderilir.

Barikat İzleme Hizmeti alan bir kurumun Barikat Güvenlik Hizmeti de alıyor olması durumunda, İzleme’de oluşan şüpheli durumlar kurum BGH hizmetini vermekte olan mühendise iletilir ve şüpheli duruma en hızlı müdahele gerçekleştirilir.

Barikat İzleme Hizmeti alan bir kurum, bir çok sıkıntıyı ya da herhangi bir sorunu, sorun henüz yaşlanmadan öğrenme ve önlem alma şansı bulur. Böylelikle, kurumun erişilebilirlik, güvenlik, hizmet ve performans gibi ögelerdeki seviyesi en üst düzeyde tutulmuş olur.

Bilgi Güvenliği Danışmanlık Hizmetleri

Bilgi Güvenliği Yönetim Sistemi Danışmanlığı

Kurum ve kuruluşlara, ISO/IEC 27001 standardına uygun bir Bilgi Güvenliği Yönetim Sistemi kurulması, kurulan sistemin işletilmesi, işleyişin ve güvenliğin izlenmesi ve kurulan sistemin iyileştirilmesi adımlarının doğru ve etkin bir şekilde gerçekleştirilmesi için sağlanan danışmanlık hizmetidir.

Sanıldığının aksine bilgi güvenliği, sadece teknoloji olarak ele alınması gereken bir konu olmayıp, işin yönetsel, fiziksel, yasal ve organizasyonel boyutlarınında gözönünde bulundurulmasını gerektiren bir süreçtir. Kurum ve kuruluşlar bilgi güvenliğini sağlamak için üst yönetimin desteği, varlıkların yönetimi, tesise giriş kontrolleri, varlıklara yönelik risklerin değerlendirilmesi, kullanıcı farkındalık eğitimleri gibi bilgi güvenliğinin farklı boyutlarını gözönünde bulundurmalıdırlar. Ancak, kurum ve kuruluşlar çoğu zaman bilgi güvenliğinin bütün boyutlarını yönetebilmekiçin yeterli kaynak bulamamakta ya da zaman, motivasyon, tecrübe ve efor gerektiren bu süreçlerin içinde kaybolmaktadırlar.

Bilgi güvenliği yönetim sisteminin oluşturulması konusunda danışmanlık hizmetlerinden faydalanılması, kurum kaynaklarının etkin bir şekilde kullanılması ve proje hedeflerine öngörülen şekilde ulaşılmasını sağlayacaktır.

Barikat, kuruluşun tercih ettiği BGYS kurulması, işletilmesi, izlenmesi, gözden geçirilmesi ve iyileştirilmesi süreçlerinden biri veya tamamı için, proje planlamasından bilgi güvenliği sisteminin denetlenmesine kadar tüm adımlarında, kuruluş bilgi sistemleri/bilgi güvenliği ekipleri ile birlikte çalışarak danışmanlık verecek, bilgi ve deneyimini paylaşacaktır.

İş Sürekliliği Danışmanlık Hizmetleri

Kurum ve kuruluşlara, kritik iş süreçlerini belirlemek, bu iş süreçlerinde kesintiye neden olacak riskleri değerlendirmek ve tahamül edilebilir kesinti düzeyleri içerisinde bu kesintileri gidermek için gerekli planlamaları oluşturmak amacıyla sağlanan danışmanlık hizmetidir.

İş sürekliliği danışmanlık hizmetleri ISO 22301, ISO/IEC 27031 ve ISO/IEC 24762 vb. ilişkili standartlar kapsamında verilebilmektedir.

Bilgi güvenliğinin önemli boyutlarından biri de iş süreçlerinin işlemesini ve dolayısıyla bilginin işlenmesini sağlamayı hedefleyen işsürekliliğidir. İş sürekliliği yönetimi,kritik iş süreçlerinin anlık kesintilerden veya felaketlerden etkilenmeden, kesintisiz hizmet sunumunun sağlanabilmesi amacıyla gerçekleştirilir.Kurum ve kuruluşlar iş sürekliliğini sağlamak için, kritik iş süreçlerini belirlemeli, iş etki analizlerini gerçekleştirmeli,iş sürekliliği risklerini değerlendirmeli ve iş süreklilik planlarını oluşturmalıdırlar. Ancak, kurum ve kuruluşlar çoğu zaman iş sürekliliği yönetimini gerçekleştirmekiçin yeterli kaynak bulamamakta ya da zaman, motivasyon, tecrübe ve efor gerektiren süreçlerin içinde kaybolmaktadırlar. İş sürekliliği sistemlerinin kurulması çalışmalarının danışmanlık hizmeti eşliğinde yapılması, kurum kaynaklarının etkin kullanılmasını sağlamaktadır.

Barikat,kuruluşun tercih ettiği standarda uygun olarak, kritik iş süreçlerinin belirlenmesi, iş etki analizi ve iş sürekliliği risk analizinin gerçekleştirilmesi ve iş süreklilik planlarının oluşturulması faaliyetlerini kurum yetkilileriyle birlikte çalışarak gerçekleştirecektir.

Barikat, kuruluşun tercih ettiği iş sürekliliği standardına uygun olarak proje planlamasından iş sürekliliği risklerinin değerlendirilmesine, iş sürekliliği planlarının oluşturulmasından sistemin denetlenmesine kadar tüm süreçlerde, kuruluş bilgi sistemleri/bilgi güvenliği ekipleri ile birlikte çalışarak danışmanlık verecek, bilgi ve deneyimini paylaşacaktır.

Boşluk Analizi

Bilgi güvenliği, iş sürekliliği, kişisel bilgilerin korunması vb. güvenlik konuları ile ilgili uygulamalarındaki eksiklikleri belirlemek isteyen veya bu gibi güvenlik yapılarını kurmayı planlayan kurum ve kuruluşların mevcut durumunu değerlendirmek,uluslararası standartlara ve en iyi uygulamalara uygunluk derecesini ölçmek amacıyla boşluk analizi gerçekleştirilir.

Kurum ve kuruluşların, uyum çalışmasına başlamadan önce, seçtikleri standarda uyum konusundaki eksikliklerini tespit etmesi ve bu eksiklikleri gidermek için hangi noktalara odaklanacaklarını belirlemesi, uyum çalışmalarında yol gösterici olacak ve uyum çalışmalarında daha etkin kaynak kullanımı sağlayacaktır.

Barikat boşluk analizi hizmeti kapsamında, kuruluşun seçtiği standardın gerekliliklerini ve kuruluşun bu noktalardaki uygulamalarını değerlendirerek kuruluşun uyumluluk seviyesini ölçecek ve kuruluşa “Boşluk Analizi Raporu” sunacaktır. Boşluk analizi, ISO/IEC 27001, ISO/IEC 27031, ISO 22301, BS 10012 veya kuruluşun seçeceği diğer standartlar için yapılabilmektedir.

Bilgi Güvenliği Politikaları Oluşturma

Bilgi güvenliği ile ilgili kurumsal uygulamaların belirlenerek, kurumsal bilgi güvenliği politikalarının yazılı hale getirilmesi ve kurumsal politika doküman setinin oluşturulması hizmetidir.

Bilgi güvenliği politikaları bilgi güvenliğinin oluşturulması, yönetilmesi ve izlenmesi için ihtiyaç duyulan uygulamaları tanımlar, kurumsal düzenlemelerin kullanıcılara yaygınlaştırılmasını ve hayata geçirilmesini kolaylaştırır ve bilgi güvenliğininyönetiminin kişilerden bağımsız olaraksürdürülmesini sağlar.

Barikat bu hizmet kapsamında kuruluşun ilgili birimleri ile koordinasyon içerisinde çalışarak, kuruluşun yapısını, iş gereksinimlerini ve işleyişini göz önünde bulundurarak, politika ve prosedür detayında bilgi güvenliği doküman setini oluşturacaktır.

Sistem Dokümantasyonu Oluşturma

Kurum ve kuruluşların tercih edeceği standartların gereklilikleri doğrultusunda, standartlara uyumu ve standartlarla ilgili faaliyetlerin yürütülmesini sağlayacak doküman setinin oluşturulması hizmetidir.

Kurum ve kuruluşlar tarafından uyumluluk çalışmaları yapılan standartların içeriğinde birçok gereksinim yer almaktadır. Bu gereksinimlerin karşılanması için birçok faaliyetin tanımlanması ve hayata geçirilmesi beklenmektedir. Bu faaliyetler bazı durumlarda kuruluşlar tarafından yeterli düzeyde uygulanamıyor ya da daha önce hiç uygulanmamış olabilmektedir. Standartlara uyumluluk açısından bu faaliyetlerin tanımlanması ve işletilmesi önem arz etmektedir.

Barikat bu hizmet kapsamında kuruluşun ilgili birimleri ile koordinasyon içerisinde çalışarak, kuruluşun yapısını, iş gereksinimlerini ve işleyişini göz önünde bulundurarak, politika, prosedür, talimat, form, tablo vb. detayında sistem doküman setini oluşturacaktır.

İç Denetim ve 2. Taraf Sistem Denetimleri

İç denetim hizmeti, kurum ve kuruluşların tercih ettikleri standarda göre kurmuş oldukları sistemin, sertifikasyon öncesi veya periyodik denetim gereksinimini karşılamak amacıyla, kuruluşun seçmiş olduğu standart baz alınarak bağımsızlık ilkesine uygun denetlenmesi hizmetidir. 2. taraf denetimi hizmeti ise kurum ve kuruluşların ürün/hizmet temin ettikleri yüklenicilerin, kurum ve kuruluşların belirlemiş olduğu standartların gereklerini yerine getirip getirmediğinin, kuruluşun talebi üzerine ve kuruluş adına, bağımsızlık ilkesine uygun olarak denetlenmesi hizmetidir.

Sistem denetimleri, tercih edilen standarda uyum çalışmalarında sertifikasyon aşamasına gelmiş olan kuruluşların kurdukları sistemin 3. bir göz tarafından değerlendirilmesini sağlamak ve sertifikasyon öncesi eksikliklerin belirlenerek kapatılmasını sağlamak amacıyla gerçekleştirilir. Ayrıca sistem denetimleri, kurulu bir sisteme sahip ve periyodik olarak sistem denetimi yapma zorunluluğu olan kuruluşların sistemlerinin, standardın gerekliliklerini ve tanımlanan uygulamaları ne düzeyde gerçekleştirdiğini tespit etmek amacıyla gerçekleştirilir. Buna ek olarak, yüklenicilerinin istenilen standartlara göre çalışıp çalışmadığının denetlenmesini tercih eden, yüklenicinin standarda uyum konusunda ne kadar başarılı olduğunun tespit edilmesini isteyen kuruluşlar için de 2. taraf denetimleri gerçekleştirilir.

Sistem denetimleri ISO/IEC 27001, ISO/IEC 27031, ISO 22301, BS 10012 veya kuruluşun seçeceği diğer standartlar için yapılabilmektedir. Barikat bu hizmet kapsamında, tercih edilen standarda uyumluluk seviyesini ölçerek kuruluşa “Denetim Raporu“ sunacaktır.

Bilgi Güvenliği Risk Değerlendirme

Kurum ve kuruluşların hassasiyetine ve gereksinimlerine uygun olarak oluşturulan Risk Değerlendirme Metodolojisi kullanılarak, bilgi varlıkları üzerindeki teknik, operasyonel ve yönetsel risklerin tehdit ve zafiyetler dikkate alınarak belirlenmesi, bu risklerin yaratacağı etkilerin ve ortaya çıkma olasılıklarının dikkate alınarak değerlendirilmesi ve önceliklendirilerek raporlanması hizmetidir.

Risk değerlendirme, kurum ve kuruluşların karşı karşıya olduğu risklerin kişilerden bağımsız olarak belirlenmesini,farklı risk tiplerinin birbirleri ile karşılaştırılabilir şekilde derecelendirilmesini ve bilgi teknolojilerinde/hizmetlerinde sorun oluşturabilecek noktalarda farkındalık oluşmasını sağlar. Bilgi güvenliğini sağlamak amacıyla kurum ve kuruluşların alacağı önlemler ve bu amaçla yapacağı yatırımlar, risk değerlendirme sonuçları kullanılarak daha isabetli olarak belirlenebilir. Böylece kurum ve kuruluşlar, sadece güncel ve gündemde olan bilgi güvenliği sorunlarıyla mücadele etmek yerine, kurum için kritik olan bilgi güvenliği sorunlarını ele alarak, kurum kaynaklarını doğru yönde kullanabileceklerdir.Ancak, kurum ve kuruluşlar çoğu zaman risk değerlendirmeyi gerçekleştirmek için yeterli kaynak bulamamakta ya da zaman, motivasyon, tecrübe ve efor gerektiren bu sürecin içinde kaybolmaktadırlar. Risk değerlendirmenin danışmanlık hizmeti eşliğinde yapılması, risklerin üçüncü ve tarafsız bir gözün katılımıyla doğru ve gerekli detayda belirlenmesini sağlar.

Barikat bu kapsamda,risk değerlendirme metodolojisini oluşturarak, teknolojik, operasyonel ve yönetsel risklerin belirlenmesi, derecelendirilmesi ve önceliklendirilerek “Risk Değerlendirme Raporu”nu hazırlanmasını sağlayacaktır.

Farkındalık Eğitimleri

Farkındalık eğitimleri ile kurum ve kuruluşlardaki kullanıcıların ve yöneticilerin güvenlik, iş sürekliliği vb. konularındaki temel kavramlara aşina olması, kullanıcıların kuruluşun uyumluluk çalışmaları kapsamında hazırladığı kurumsal politika ve kuralların farkına varması, öğrenmesi ve bu çalışmalarla neyin hedeflendiğini anlaması ve yürütülmek istenen sistem ile ilgili farkındalığın oluşturulması hedeflenmektedir.

Farkındalık eğitimlerinin içerikleri, kurum ve kuruluşların tercih ettiği standarda, uygulamak istedikleri politka ve kurallarauygun olarak hazırlanmaktadır. Aynı zamanda kurum ve kuruluşların ihtiyaçlarına ve beklentilerine göre farkındalık eğitimlerinin hedef kitlesi belirlenmekte ve zaman planlaması yapılmaktadır.

Barikat bilgi güvenliği, iş sürekliliği vb. gibi birçok konuda farkındalık eğitimleri düzenlemektedir. Barikatdünyada kabul görmüş en iyi uygulamalardaki birikimi ve deneyimi ile eğitim içeriklerini zenginleştirmekte ve müşterilerine katma değer sağlamayı amaçlamaktadır.

Temel ve Uygulama Eğitimleri

Kurum ve kuruluşların, üzerinde çalışmaya başladıkları ya da çalışmayı planladıkları standartlar ve sistemler konusunda temel bilgileri edinmeleri, gereksinimleri yorumlamayı öğrenmeleri ve uygulama adımlarını ve pratiklerini kavramalarını hedefleyen eğitimlerdir.

Temel eğitimler, standartlar ve sistemler hakkında öğrenilmesi zaruri olan kavramlar hakkında detaylı bilgileri, standartların ve sistemlerin gereksinimlerini ve bunlarla ilgili açıklamaları, bu gereksinimlerin durumlara ve şartlara göre nasıl yorumlanabileceğini, standartların ve sistemlerin diğer sistem ve standartlarla ilişkilerini içerir. Uygulama eğitimleri ise, standartlara, sistemlere uyumluluk ve kurulum çalışmalarının nasıl planlanacağını, kurulum ve işletim süreçlerinde takip edilecek iş adımlarını, bu adımlar kapsamında yapılacak faaliyetleri ve bu faaliyetler ile ilgili uygulama pratiklerini içerir.

Temel ve uygulama eğitimleri kurum ve kuruluşların, kurmayı ve işletmeyi planladıkları standartlar ve sistemler ile ilgili, daha kurulum çalışmaları başlamadan, detaylı bilgi sahibi olmalarını ve kurulum çalışmalarında karşılacakları zorlukları öngörmelerini sağlar. Bu sayede kurum ve kuruluşlar, kurulum ve işletim çalışmaları ile ilgili daha etkin planlama yapabilir ve ihtiyaçlarını daha gerçekçi tanımlayabilirler.

Temel ve uygulama eğitimleri, kurum ve kuruluşlardaki bilgi teknolojileri hizmeti veren birim yöneticileri, çalışanlarve özellikle standartlara uyum konusunda görevlendirilmiş ekiplerin yararlanabileceği eğitimlerdir.

Barikat bilgi güvenliği, iş sürekliliği vb. gibi birçok konuda temel ve uygulama eğitimleri düzenlemektedir. Bilgi birikimi ve deneyimi ile Barikat, müşterilerine katma değer sağlayacak eğitimler sunmaktadır.

Bilgi Güvenliği Olay Müdahale ve Yönetim Hizmeti

Kurum ve kuruluşlara, tespit edilen bilgi güvenliği olaylarına doğru şekilde müdahale etme, kontrol altına alma, adli kayıtları toplama ve benzer olayların tekrar etmemesi için iyileştirici ve önleyici faaliyetleri planlama amacıyla sağlanan danışmanlık hizmetidir.

Belirli bir sistematiğe bağlı olarak uzman personel tarafından gerçekleştirilmeyen bilgi güvenliği olay yönetimi, olayın kontrol altına alınması veya olayın tekrar oluşmasını önleyecek tedbirlerin gerçekleştirmesi konularında aksamalara neden olmaktadır. Bu da kurumun gerek maddi gerekse de itibar kaybı yaşamasıyla sonuçlanan durumlara neden olabilmektedir. Bir prosedüre bağlı olarak uzman kadrolar tarafından gerçekleştirilen bilgi güvenliği olay yönetimi, kurum ve kuruluşların bilgi güvenliği olaylarına hızlı ve etkin bir şekilde müdahale edebilmelerini, olayların olumsuz etkilerini asgari seviyede tutabilmelerini ve aynı olayların tekrar etmemesi için olayın kök sebebini tespit ederek gerekli iyileştirmelerin yapılabilmesini sağlar.

Barikat bu hizmet kapsamında, tespit edilen (ya da tarafımızca sağlanabilecek olan kayıt analiz hizmeti ile tespit edilecek) bilgi güvenliği olaylarının yönetimini ISO 27001 standardına uygun olarak gerçekleştirecektir.

BT Güvenlik Kayıt ve Atak Analiz Hizmeti

Kurum ve kuruluşların sistemlerinde üretilen BT güvenlik kayıtlarının merkezi olarak toplanıp analiz edilmesi, hizmetidir.

Kurumlarda BT altyapısında yer alan işletim sistemleri, uygulama sunucuları, güvenlik cihazları başta olmak üzere birçok kaynak kayıt (log) üretmektedir. Kurum ve kuruluşlar, sistemlerinde olan biteni incelemek ve kurumun güvenlik başarımını analiz etmek için kayıtları düzenli olarak kontrol etmelidirler. Ancak, kurumsal sistemlerde bulunan uygulamaların sayısı ve çeşitliliği dikkate alındığında, kayıt ve atak analizi için yeterli kaynak bulunamamakta ya da zaman, motivasyon, tecrübe ve efor gerektiren bu süreçlerin içinde kaybolunmaktadır. Kayıt ve atak analizinin dış kaynak kullanılarak gerçekleştirilmesi, kurum ve kuruluşların kaynaklarını etkin yöneterek, bilgi güvenliğinin önemli bileşenlerinden biri olan kayıt ve atak analizini etkin olarak yerine getirmelerini sağlayacaktır.

Barikat bu hizmet kapsamında, alanında lider olan Arcsight güvenlik kayıt ve olay yönetim sisteminin ürettiği alarmlara bağlı olarak gerekli analiz çalışmalarının yapılması, belirlenen olası güvenlik olaylarının kurumla etkileşimli olarak oluşturulan iş akışına bağlı olarak sistem yöneticilerine bildirilmesi, tanımlı bilgi güvenliği olay yönetimi prosedürüne göre gerekli aksiyonların alınması faaliyetlerini gerçekleştirecektir.

DDoS Testleri

Dağıtık Hizmet Dışı Bırakma (Distributed Denial-of-Service - DDoS) saldırısı, sistemlerin bant genişliği, işlemci ve bellek gibi kaynaklarını tüketerek, o kaynakları kullanıcılar tarafından erişilemez duruma getirmek amacıyla yapılan saldırılardır. DDoS saldırıları, son yıllarda en çok kullanılan siber savaş aracı olarak tanımlanmakta ve kesin olarak çözümü bulunamayan tehditlerin başında gelmektedir. DDoS, alternatif diğer saldırı türlerine göre daha kolay gerçekleştirilebildiği için siber saldırganlar tarafından kurum ve kuruluşların, hatta ülkelerin internet altyapılarını ve sunulan hizmetleri işlevsiz hale getirmek için sıklıkla tercih ettiği yöntemlerin başında yer almaktadır.

Test sonuçlarını istatistiksel olarak ifade etmek ve hatalı sonuçları en aza indirmek amacıyla, DDoS testleri sırasında farklı lokasyonlarda bulunan izleme (monitoring) araçlarıyla hedef sunucu ve uygulamaların cevap verme süreleri, hizmet dışı kalma süreleri gibi ölçümler yapılmaktadır. Aynı zamanda, testler için kullanılan makinelerde de hedefe gönderilen paket sayısı, tüketilen bant genişliği miktarı gibi ölçümler yapılarak atak yoğunluğu tespit edilmektedir.

Barikat bu hizmet kapsamında, DDoS test senaryolarının hazırlanması, testlerin gerçekleştirilmesi, test sonuçlarının raporlanması faaliyetlerini gerçekleştirecektir.

Kod Analizi

Kurum ve kuruluşların uygulamalarındaki mevcut açıklıkların bulunması ve giderilmesi amacıyla kodların otomasyon aracı vasıtasıyla analiz edilmesi hizmetidir.

Barikat bu hizmet kapsamında, geliştirilen yazılımlarda otomasyon yazılımları desteği ile, kaynak kod analizi yapılması ve testler sonucunda, uygulamalardaki mevcut açıkların ve bu açıkların giderilmesine yönelik önerilerin bulunduğu raporun kuruma teslim edilmesi faaliyetlerini gerçekleştirecektir.

SAM

Security Acount Manager (SAM); kurumlarda yürütülen çalışmaların koordinasyonu ve raporlanmasından, kurumdaki mevcut ürünlerin efektif kullanımını garantilemeye ve ürün best pracitise’larının uygulanmasından, kurum personelinin kullanılan güvenlik ürünleri hakkında bilgilendirilmesine kadar çeşitli görevleri olan teknik güvenlik danışmanıdır. SAM sayesinde, kurumda Barikat tarafından gerçekleştirilecek güvenlik çalışmaları tek bir kişi üzerinden koordine edilerek, kurum yönetici ve çalışanlarının bilgi güvenliğiyle ilgili soru ve sorunları tek bir kişi üzerinden en doğru ve hızlı şekilde cevaplanması amaçlanmaktadır.

Barikat SAM’i koordinasyonunda, Barikat uzmanları ve SAM’i tarafından yapılacak olan çalışmalar aşağıda belirtilen 5 ana ögede toparlanabilir:

Teknik Risk Analizi ve Yönetimi Çalışmaları

Teknik Risk Analizi ve Yönetimi çalışmaları çeşitli testlerin yapıldığı birinci evre ile, bulguların önceliklendirildiği, acil eylem planının (AEP) oluşturulduğu planlama ve yama ve sürüm güncellemelerinin, konfigürasyon iyileştirmelerinin gerçekleştirildiği, olası diğer ekiplerle koordinasyonun sağlandığı, AEP’nin gözleminin yapıldığı ve açıklıkların kapatılmasının kontrolünün sağlandığı üç ana süreçten oluşmaktadır.

Testler sürecinde yapılan analiz ve testlerin hepsi tek bir rapor haline getirilip, önceliklendirilerek kuruma raporlanır. Kurumda güvenlik açıklılıkları varsa, açıklıkların kapatılması sürecinde kuruma danışmanlık verilir. Son olaraksa, kapatılan açıklıklar için kontrol ve iyileştirme testleri yapılır. Kontrol testleri çalışmaları en az aşağıdaki  testleri içerir:

  • Internet ve diğer bağlantı noktalarından Sızma Testleri,
  • D/DoS Testleri,
  • Sosyal Mühendislik Testleri,
  • Sunucu Sistemleri Zafiyet Analizi,
  • Sistem Denetimi (veri tabanı, uygulamalar vb. kritik bileşenleri için)
  • Botnet Analizi.

Güvenlik Mimarisi Analizi Çalışmaları

Bu çalışma en az aşağıdaki açılardan analiz çalışmalarını kapsar:

  • Topolojinin çıkartılması,
  • Erişim kontrolü,
  • Kullanıcı Doğrulama ve Kimlik Yönetimi,
  • Şifreleme,
  • Fiziksel Güvenlik,
  • Denetim, Olay Yönetimi ve İzleme,
  • Varlık Yönetimi ve Risk Yönetimi,
  • Değişim Yönetimi,
  • Sistem Geliştirme ve Bakım,
  • 3. Taraf Hizmetleri Yönetimi,
  • Bilgi Sistemleri Koruma Altyapısı.

Güvenlik Ürünlerinin Etkin Kullanımı Çalışmaları

Yapılacak çalışmalar güvenlik değişiklik yönetimi prosedürlerine göre gerçekleştirilir ve bu çalışmalar aylık bazda raporlanır. Güvenlik Ürünlerinin Etkin Kullanımı Çalışmaları en az şu faaliyetleri içerir:

  • Güvenlik ürünleri konfigürasyon analizi,
  • Versiyon ve imza kontrolleri,
  • Ürün bileşenlerinin kontrolü,
  • Ürünlerin olası entegrasyonlarının analizi,
  • Ürünlerden beklenen sürekliliğin kontrolü,
  • Sistem ihtiyaçlarına, yeni tehditlere ve ürün yeni versiyonlarına göre ürünlerin yapılandırılması,
  • Kullanılmayan ürün özelliklerinin devreye alınması,
  • Raporlama,
  • Yedekleme,
  • EKP gözlem.

Güvenlik Seviyesi Koruma Çalışmaları

Bu çalışma en az şu faaliyetleri içerir:

  • Sistem genelinde planlanan değişikliklerin ve çalışmaların analizi,
  • Bilgi güvenliği olaylarının analizi ve gerekli müdahalelerin gerçekleştirilmesi,
  • Güvenlik sistem ve bileşenlerinin güncel ve sağlıklı çalıştığının kontrolü,
  • Güvenlik sistemlerindeki değişikliklerin ilgili dokümanlara yansıtılması,
  • Olası sorun ve problemlerin analizi, güvenlik sistemlerindeyse çözümü,
  • İlgili politika ve prosedürlerin güncel tutulması.

Sistem İzleme Çatısı Kurma Hizmeti

Kurum ve kuruluşların ağlarında ortaya çıkan DoS saldırısı gibi problemlerin hızlı ve doğru şekilde tespit edilmesini sağlamak, sistem yönetimini kolaylaştırmak, sistem kaynaklarının ve servislerinin iş gereksinimlerine bağlı olarak izlenmesini sağlamak amacıyla gerçekleştirilen hizmettir.

Barikat bu hizmet kapsamında, sistemlerde izlenmesi gereken parametrelerin belirlenmesi, izlenecek olan sistemlerin ve alarm mekanizmalarının tanımlanması, bilgi sistemlerinin etkin olarak izlenmesi ve belirlenen sıklıkta raporlanması faaliyetlerini gerçekleştirecektir.

Teknik Danışmanlık

Sistem Yapılandırma Analiz Hizmeti

Kurum sahip olduğu kritik sistem bileşenlerinin güvenlik başarımlarının, en iyi uygulama örnekleri (CISecurity, Stigs vs.) ve uyumluluk gereksinimleri (ISO 27001, COBIT, PCI vs.) dikkate alınarak hazırlanan kontrol listeleri üzerinden değerlendirildiği teknik analiz hizmetidir. Bu hizmet, zafiyet analizi hizmetinden farklı olarak, oluşturulan detaylı kontrol listelerine (şifre uzunluğu, uzak yönetim ayarları, erişim sınırlamaları, şifreleme yönetimi vs.) göre yapılan sistem yapılandırma ayarları denetimidir.

Gerekli sıkılaştırmalar yapılmadan üretim ortamına dahil edilmiş sistem bileşenleri, güvenlik açıklarına neden olan sistem ayarları ve kurum güvenlik politikalarına veya en iyi uygulama örneklerine uygun olarak yapılandırılmamış uygulamalar; kurum ve kuruluşların bilgi sistemlerinde zafiyetlerin oluşturmasına neden olmaktadır. Bu zafiyetlerin zamanında tespit edilerek, gerekli önlemlerin alınması; kurumların mevcutta karşı karşıya oldukları risklerin yönetilebilmesi açısından kritiktir. Yapılan analiz çalışması, eksik/hatalı sistem yapılandırma ayarlarının neden olduğu açıkların tespit edilmesini ve iyileştirme önerilerinin belirlenmesini sağlayarak, kurum ve kuruluşların bilgi güvenliği başarımını arttıracaktır.

Barikat bu hizmet kapsamında, kurum ihtiyaçlarına göre güvenlik kontrol listelerini oluşturup, ilgili uzman personel tarafından elle yapılan kontrollere ek olarak otomatik sistem tarama araçları da kullanarak, sistem yapılandırma ayarlarını denetlenecektir. Elde edilen bulgular ve iyileştirme önerileri raporlanarak kuruma teslim edilecektir. Bu hizmetin edinim sıklığı, kurum ve kuruluşların gereksinimlerine göre farklılık göstermekle birlikte, güvenlik risklerini zamanında tespit edilip, müdahale edilebilmesi adına; en az altı ayda bir gerçekleştirilmesi önerilmektedir.

Teknik Denetimler

İnternet ve Yerel Ağdan Sızma Testi

Internet ve Yerel Ağdan Sizma Testi; kurum ve kuruluşların sistemlerine Internet üzerinden ve içeriden; kurum yerel alan ağından gerçekleştirilen sızma girişimlerinin olası etkilerinin ortaya çıkarılması amacıyla gerçekleştirilen hizmettir.

Kurum ve kuruluşların sistemlerindeki güvenlik açıklıklarının saptanarak raporlanması ve rapordaki bulgular çerçevesinde alınabilecek önlemlerin belirlenmesi, sızma testlerinin kurum ve kuruluşlara sağlayabileceği temel katkılar arasında yer almaktadır. Bu testler, kurum ve kuruluşların sistemde var olan güvenlik açıklarından etkilenmeden gerekli önlemlerin alınmasını sağlayarak, zarar görmelerini engeller.

Barikat bu hizmet kapsamında, testlerin planlanması ve gerçekleştirilmesi, tespit edilen güvenlik açıklarının ve bu açıkları kapatılması için gerekli önlemlerin raporlanması ve kapatılan açıkların denetlenmesi (raporlanan açıkların kurum tarafından kapatılmasından sonra) faaliyetlerini gerçekleştirmektedir.

Uygulama Performans Analizi

Uygulama Performans Analizi; kurumsal uygulamaların yük altında nasıl davranacağını gösteren performans analiz testlerini gerçekleştirerek, uygulamaların üretim ortamında ortaya çıkarabileceği performans problemlerini öngörmek amacıyla yerine getirilen hizmettir.

Uygulama performans analizi, kurumsal uygulamalarda hedeflenen performans gereksinimlerinin başarımının ölçümü için gerçekleştirilmektedir. Analiz çalışması, kurumsal uygulamaların performans sorunlarını erken safhalarda tespit ederek, performansın iyileştirilmesi için gerekli çalışmaların yapılmasını mümkün kılar. Aynı zamanda performans sorunları kaynaklı oluşabilecek hizmet kesintilerinin erkenden tespit edilmesini sağlar.

Barikat bu hizmet kapsamında, performans test senaryolarının hazırlanması, testlerin gerçekleştirilmesi, test sonuçlarının analiz edilmesi ve raporlanması faaliyetlerini gerçekleştirecektir.

Zafiyet Analizi ve Yönetimi Hizmeti

Kurum BT altyapı bileşenlerinin (işletim sistemleri, uygulamalar, veritabanları vb.) otomatik tarama araçlarıyla denetlenerek, tespit edilen güvenlik açıklarının çeşitli kriterlere göre (varlık önemi, tehdidin kritikliği, açıklığın ifşa edilme ihtimali, kurumda mevcutta uygulanan güvenlik kontrolleri vb.) önceliklendirilerek raporlanması hizmetidir.

Günümüzde kurum ve kuruluşların yaşadığı bilgi güvenliği olaylarının kök sebeplerinin arasında, sistem bileşenleri ve uygulamalardaki güvenlik açıklarının sistematik olarak ele alınmaması yer almaktadır. ISO 27001 ve benzeri bilgi güvenliği standartlarında da kapsamlı olarak yer verilen zafiyet yönetiminin sistematik olarak işletilmesi, kurum ve kuruluşların güvenlik zafiyetlerini zamanında tespit edip, yöneterek; zafiyetlerin neden olduğu riskleri kabul edilebilir seviyede tutmalarını sağlar. Ancak, kurumsal sistemlerde bulunan uygulamaların sayısı ve çeşitliliği dikkate alındığında, zafiyet taramalarında ortaya çıkan yüzlerce açığın yönetilmesi (önceliklendirilmesi, zamanında müdahale edilmesi ve zafiyetin giderilmesi) için yeterli kaynak bulunamamakta ya da zaman, motivasyon, tecrübe ve efor gerektiren bu süreçlerin içinde kaybolunmaktadır. Zafiyet analizi ve yönetiminin dış kaynak kullanılarak gerçekleştirilmesi, kurum ve kuruluşların kaynaklarını etkin yöneterek, bilgi güvenliğinin önemli bileşenlerinden biri olan zafiyet yönetimini etkin olarak yerine getirmelerini sağlayacaktır.

Barikat bu hizmet kapsamında, otomatik tarama araçları kullanılarak zafiyetlerin tespit edilmesi, tespit edilen zafiyetlerin önceliklendirilmesi ve önceliklendirilmiş zafiyetlerin raporlanıp kuruma sunulması hizmetlerini, belirlenen sıklıkta gerçekleştirecektir.

Zafiyet Yönetimi Uygulama Zorunluluğu

Güvenliğin sağlanması için en öncelikli konulardan biri de güvenlik kalkanı üzerindeki deliklerin bulunması ve kapatılmasıdır. Bilgi sistemleri ile ilgili alınan önlemleri güvenlik kalkanı olarak varsayarsak, güvenlik zafiyetleri de bu kalkan üzerindeki delikler olarak kabul edilebilir.

Zafiyetlerin tespiti, değerlendirilmesi ve giderilmesi çalışamalarının bütünü Zafiyet Yönetimi olarak adlandırılır. Zafiyet yönetimi, sistemlerdeki açıklıkların en hızlı şekilde tespit edilmesini, kritiklik ve giderilme zorluğu açılarından analizini, kapatılması ile ilgili faaliyetlerin önceliklendirilerek planlanmasını ve hayata geçirilmesini sağlar. Zafiyet yönetiminin uygulanabilmesi için zafiyet tarama, olay ve kayıt yönetim sistemleri ve yama yönetim sistemleri gibi teknolojilere ihtiyaç duyulmaktadır.

Her ne kadar Ulusal Siber Güvenlik Stratejileri gereğince 2013-2014 yılları içerisinde mevzuatın geliştirilmesi hedefleniyor olsa da, ülkemizde bilgi güvenliğine yönelik mevzuatın halen yetersiz olması, kurum ve kuruluşların bilgi güvenliği konusunda rehberlik ihtiyacını karşılayamamaktadır. Ancak, uluslararası standartlar ve uygulamalar bu konudaki açıkları kapatmak için kullanılmakta ve zafiyet yönetimini güvenliğin olmazsa olmazlarından biri olarak göstermektedirler. Uluslarası standartlar arasında en çok kabul gören standart olan ISO/IEC 27001’in 4.2.1.d ve A12.6.1 maddesi, zafiyet yönetiminin uygulanmasını gerektirmektedir. Yine, finans sektörü ve kritik bilgi işleyen benzer sektörlerde yoğun olarak kullanılan uluslararası standartlardan biri olan PCI-DSS standardının 5. , 6. ve 11. gereksinim maddeleri de zafiyet yönetiminin mutlaka uygulanmasını istemektedir. Benzer şekilde, COBIT ve ITIL gibi bilgi sistemlerinin yönetimi için uluslararası alanda en çok kabul gören standartların AI3.3 ve SO 5 maddeleri de zafiyet yönetiminin uygulanmasını belirtmektedir.