BDDK Onaylı Sızma Testi

Sistemsel ve donanım olarak bilgi teknolojileri son derece büyük bir hızla gelişmeye ve değişmeye devam ediyor. Sürekli gerçekleştirilen gelişme ve ilerlemelerin, kendisinden sonraki gelişmeleri daha da hızlandırdığı bir dinamizm oluşuyor. Bu durum tüm bilişim sistemlerinde güvenlik alt yapısının en önemli unsur olarak öne çıkmasının ana nedenleri haline dönüşüyor. Her alanda bilgi sistemleri, farklı sonuçlar üretebilmek adına geliştirilirken, aynı zamanda sürekli bir şekilde güvenlik zafiyetleri de oluşturmaya devam ediyor. Gelişen yazılım ve donanımlar, önceden ileri güvenlik sistemleriyle donatılmış bilgi sistemlerinin bile geride kalmasına ve çeşitli güvenlik zafiyetleri oluşturmasına neden olabiliyor. Her sektörde farklı etkiler ve felaket senaryoları üretebilen bu güvenlik sorunlarına karşı, alınması gereken önlemler bulunuyor. BDDK Onaylı Sızma Testi, bu sebeple bankacılık ve finans sektöründe yoğun bir şekilde hizmet sunan bilgi sistemlerinin güvenlik alt yapısı için yasal olarak da zorunlu hale getirilmiştir.

2000’li yılların henüz başlarından itibaren, bankacılık ve finans alanında dünya genelinde önem kazanan bilgi sistemleri, yaşanan çeşitli skandallarla gündeme gelmişti. Ülkemizde de yaşanan bazı sorunlar, bilgi sistemlerinin güvenliğine ne denli büyük bir şekilde önem verilmesi gerektiğinin de altını çizdi. Nihayet 2012 yılında BDDK tarafından yayınlanan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ ile BDDK Onaylı Sızma Testi, bankaların bilgi sistemlerinin her yıl en az bir defa olmak üzere denetlenmesini zorunlu hale getirdi. Bu sayede bankacılık alanında faaliyet gösteren tüm kurumların,  gerçekleştirilen sızma testi aracılığıyla en son güncellemelerin seviyesinde bir güvenlik alt yapısına sahip olması sağlanabiliyor. Donanımlar, kullanıcılar ve yanı sıra tüm yazılımların BDDK tarafından onaylanmış belirli şartlara tabii çeşitli senaryolar aracılığıyla testlere tabii tutulması ve elde edilen verilerin rapor halinde sunulmasıyla, tüm bilgi sisteminin özellikleri belirlenmiş oluyor. Olası güvenlik açıklarının bu sayede tespit edilmesi ve bu açıkların kapatılabilmesine yönelik çalışmaların başlaması mümkün hale geliyor.

What is penetration testing heraklet

BDDK Onaylı Sızma Testi Nasıl Yapılıyor?

Temel ve standart sızma testleri, bir saldırgan tarafından gerçekleştirilen sızma, çoklu saldırganlar tarafından sızma işleminin ilk aşamasının gerçekleştirildiği sızmalar gibi senaryolar, BDDK Onaylı Sızma Testi kapsamında gerçekleştirilir. Standart sızma testleri, sistem ve servis tespitleri, açıklık taramaları ve araştırmaları aşamasıyla başlar ve devamında tüm bilgi sistemi unsurlarına uygulanarak devam edilir. Ardından ayrıntılı sızma testleri aşaması gerçekleştirilir. Daha önceki aşamadan elde edilen verilerinde değerlendirildiği bu aşamada, bilgilerin yeniden oluşturulması, sosyal mühendislik ve yaratıcılık kullanılarak uygulanan yeni saldırı yöntemleri senaryoları uygulanır. Kurumların kendilerine özel olarak ortaya çıkabilecek güvenlik zafiyetlerinin belirlenmesi sağlanarak testler sonlandırılır.

BDDK Onaylı Sızma Testi, ilgili kurumla yapılan sözleşme çerçevesinde, kurumdan istenilen şartların yerine getirilmesine müteakip olarak ve belirsiz bir tarihte başlatılır. Bu sayede olası saldırılar ve sızma gayretlerine ne kadar güçlü bir güvenlik alt yapısıyla bilgi sisteminin yanıt verip veremediği belirlenir. İlgili kurumun bilgi işlem konusunda özel önlemler alması bu sayede engellenir. Belirsiz bir tarihte başlayan penetrasyon testi, BDDK tarafından belirlenmiş özel aşamalara sahiptir. Sözleşme tarihinden itibaren 30 güm içerisinde sonlandırılan sızma testi sonucunda Security Checkup adı verilen güvenlik raporu ilgili kuruma ayrıntılı biçimde sunulur.

pen testing ethical hacking heraklet

BDDK Onaylı Sızma Testinin Kapsamı

BDDK Onaylı Sızma Testi sırasında Veritabanı Sistemleri, web uygulamaları, DNS sağlayan servisler, Etki alanı içerisindeki tüm kullanıcı bilgisayarları, iletişim amacıyla kullanılan tüm alt yapı ve faal durumdaki tüm cihazlar, kullanılan tüm mobil uygulamalar, Kablosuz ağ sistemlerinin tamamı, ATM’de kullanılan sistemler, Intranet veya iç ağ sistemlerinin tamamı, Kodların analizlerinin yapılması, E-posta için kullanılan servisler, Sosyal mühendislik konulu testlerDağıtık servis dışı bırakma testleri gerçekleştirilir.

Bu anlamda BDDK Onaylı Sızma Testi, ilgili kurumun hizmet sunmak amacıyla kullandığı tüm bilgi sistemlerini fiziksel ve yazılımsal olmak üzere kapsayacak şekilde gerçekleştirilir. BDDK tarafından da belirlenmiş olan tüm kapsama uygun bir şekilde, alanında yetkin ve yüksek bilgi birikimiyle birlikte yeteneğe sahip yazılım mühendisleri tarafından çok yönlü şekilde gerçekleştirilir. Hazırlanan tüm senaryoların, gerçek yaşamla uyumlu ve hatta olası özel yaratıcılık kurgularına da yanıt verebilecek kapsamda olması sağlanır. Bu sayede ilgili bilgi sisteminin sahip olduğu tüm özellikler belirlenerek,  var olan ve olası tüm güvenlik risklerinin belirlenmesi sağlanır. Bankacılık gibi sonuçları çok ciddi olabilecek felaketlerin engellenmesinin zorunlu olduğu sektörde, Yasal düzenlemelerin ışığında sızma testlerinin sürekli ve dönemsel olarak gerçekleştirilmesi büyük bir önem taşır. Bankaların müşterilerine hizmet sunmak amacıyla kullandığı tüm sistemlerin, kullanıcılarına sunduğu yüksek güvenlik olmazsa olmaz bir konudur.

Bankaların yüksek güvenlik özelliklerine sahip bilgi sistemlerine sahip olması, bir anlamda sermayeleri kadar önemli bir konudur. Günümüzde mobil ve diğer iletişim olanaklarının yoğun bir şekilde kullanılması ve sağladıkları avantajlardan faydalanma, bankacılık hizmetlerinin altyapısal değişiklikler sunmasını zorunlu hale getirmiştir. Bu altyapısal değişiklikler, özellikle bilgi sistemleri aracılığıyla kaliteli hizmet sunulmasının, rekabetin en önemli koşulu haline gelmesine neden olmuştur. Bu durum elbette en büyük önceliğin, bilgi sistemlerinin kullanılırken sahip olduğu güvenlik kalitesinin seviyesi olmasına sebep oluyor.

BDDK Onaylı sızma testi, bankaların tüm bilgi sistemlerini kapsayan bir test olarak, düzenli bir şekilde yapıldığında, bilgi sistemlerinin sahip olduğu güvenlik seviyesinin ve özelliklerinin de en güncel haliyle belirlenebilmesi sağlanır. Her alanda gerçekleşen güncellemelere karşı, ilgili kurumun bilgi sistemlerinin de güncellenmesi gibi ilave bir avantaj oluşturur. Hazırlanan ayrıntılı güvenlik raporu sayesinde, bilgi sisteminin geliştirilmesi gereken, ilgili güncellemelerin ve yamaların yapılması gereken, olası risk oluşturan tüm özellikleri ortaya çıkarılır. Bu sayede ilgili çözümlerin oluşturulabilmesi için de ayrıntılı bir yol haritası sağlanmış olur.

İletişim

Mehmet Demir

Mehmet Demir

Heraklet Chief Information Security Officer

Mehmet Demir, bilgisayar yazılımı endüstrisinde kanıtlanmış bir çalışma geçmişine sahiptir. Uzmanlıkları arasında Güvenlik Duvarları, Anahtarlama, Sys-Admin, Veri Merkezi ve Ağ İletişimi konuları yer almaktadır. İş geliştirme uzmanı Mehmet Demir Erciyes Üniversitesi’nden Elektronik ve Telekomünikasyon alanında Ön Lisans Derecesi bulunmaktadır.

Telefon: 0 552 237 29 68

Siber Güvenlik Önlemleriniz Saldırı Karşısında Ne Kadar Güvenli?

Yakın Zamanda Gerçekleşen
Siber Saldırılar

Siber saldırılar tüm dünyada her an gerçekleşmektedir. Kullanıcı veri ihlali ve hassas bilgi hırsızlığı her kurum için önlem alınması gereken tehdit ve risklerdir. Siber Güvenlik önlemlerini aşan saldırıların nelere mal olduğunu gelin hep birlikte inceleyelim.

Siber Savunma Kurumların Siber Saldırılara Karşı Alabilecekleri Önlemler Dizisidir. Hackerların Amansız Ataklarına Karşı Heraklet Daima Yanınızda!

HERAKLET SİBER GÜVENLİK VE SAVUNMA HİZMETLERİ

  • Antivirüs

    Trojan, Worm, Keylogger, CryptoLocker virüsleri kurumunuzda felakete yol açmadan Heraklet’ten Kaspersky, Eset, Sophos, WatchGuard gibi antivirüs ürünlerini temin edebilirsiniz.

  • Firewall

    Kurum bilgisayar ağ altyapınızı Heraklet tarafından geliştirilen Skyron  Firewall UTM Cihazı ile siber ataklara karşı kuvvetlendirin. Siber Saldırı Tespit ve Önleme, Veri Kaybı Önleme, Antimalware, Web Filtreleme, İçerik Filtreleme, gibi bir çok özellik Skyron bünyesinde hizmetinizde.

  • Sızma Testi

    Bilgisayar sistemilerine, local ve wide area network yapılarına veya web uygulamalarına Heraklet bünyesindeki, CEH ve TSE sertifikalı Güvenlik Uzmanlarınca kurumsal düzeyde BDDK, ISO, EPDK ve TSE uyumlu sızma testi yapılmaktadır.

  • Siber Güvenlik Danışmanlığı

    Network altyapısının güncel siber saldırı vektörleri ve zafiyetleri göz önünde bulundurularak uçtan uca tasarlanması ve muhtemel saldırılara karşı koyabilir hale getirilmesi ve raporlanması.

  • Kaynak  Kod Analizi

    Yazılımların dağıtım ve satışından önce OWASP sertifikalı siber güvenlik uzmanlarımız tarafından analiz edilerek zafiyet analizi yapılması işlemidir.

  • SIEM Çözümleri

    Veri güvenliği için kurumların geliştirmesi gereken stratejilerin tam anlamıyla yüksek teknoloji, güncel metodlar ve kendini kanıtlamış güvenlik cihazlarıyla kurguluyoruz.

NEDEN BİZ?

BİZİ FARKLI KILAN 6 ÖZELLİĞİMİZ

  • conversations-4872_af60b258-251e-41af-b238-dfb706d7b3d4

    Hızlı Yanıt

    Destek sistemimizden yahut telefon destek hattımızdan gerçekleştirdiğiniz destek taleplerinin %95’ini* aynı gün çözüyoruz. Türkiye’nin yahut dünyanın neresinde olduğunuz farketmeksizin, cihazınız ya da sisteminizle alakalı sorun tespit ve anahtar kilit çözüm önerilerimizi sizlere sunuyoruz. (*2019 KPI Sonuçlarımıza göre)

  • diploma-2983_a6bb0b64-dbc1-431e-ac00-a83597982a0

    Yetkinlik

    20 yılı aşkın bir süredir dış kaynak IT kullanımında, Veri Merkezi Kurulumundan, hassas kurumsal Ar-Ge projelerine, Bilişim Teknolojileri ve Bilgisayar Bilimi’nin teoriden pratiğe dönüştürüldüğü endüstriler ve uygulama türlerinde deneyim kazandık.

  • messaging-app-4876_473fc710-9ecc-4785-9e78-8c9f00ae9498

    Uluslararası Tecrübe

    Çağın gerekliliği olan globalleşmenin şirketimizin bir çok alanına nüfuz etmesini hedefliyoruz. Yurtdışı pazarlarda rekabet gücü yüksek ve ülkemizi temsil etmeye layık ürünler geliştiriyoruz. Gelişen teknolojileri yakından deneyimlemek ve yön vermek için uluslararası konferansların rutin konuşmacıları ve konuklarıyız

  • flag-2979_1fd1d414-4b4f-4887-a94a-493ba8e0b0c7

    Proje, İnşa, Destek

    Şirketiniz için iş yararını tam olarak anlayarak teknoloji çözümlerini tasarlıyor, değerlendiriyor, gerekçelendiriyoruz. Teklifimiz karşılıklı mutabakatla anlaşmaya döküldükten sonra, projelendirip taahhüt ettiğimiz zaman diliminde sisteminizi inşa ediyor ve olağan & olağanüstü sistemle ilgili her durumda destekçiniz oluyoruz.

  • source-code-1900_d2c3a8cb-9d49-47a9-aa2d-152f24e446d6

    IT’de Tek Adres

    Donanım, yazılım yönetimi ve diğer ilgili teknoloji ihtiyaçları dahil BT altyapınızın tüm yönleri hizmet portföyümüz kapsamına giriyor. Veri merkezi kurulumundan, endüstriyel fabrika otomasyonlarına, ihtiyaca dönük uygulama geliştirmeden (Web&Mobil), siber güvenlik operasyonlarına, ürün ve hizmet portföyümüzle Türkiye için çalışıyoruz.

  • happy-emoji-2947_45d5bb03-c67d-4e73-a316-a5e7f4a9f2f7

    100% Müşteri Memnuniyeti

    Ön fizibilite, teklif, anlaşma süreçlerinde belirtilen tüm maddelere uygun hizmet vererek, müşteri memnuniyeti ana merkeze oturtarak ilişkilerimizi yürütüyoruz. Müşterilerimize sunduğumuz hizmetlerin sürekliliği ve ilk günkü performansını koruması için 7/24 destek hizmeti veriyoruz.

Siber Saldırganlar Tarafından Hacklenmeden Önce Kendinize Şu Soruyu Sorun

Güvende Miyim?

Cevap Size Bir Tık Kadar Yakın,