Güvenlik Denetimleri

 

Web Uygulama Güvenliği Denetimi

Günümüzde kurumsal güvenlik zincirinin en zayıf halkalarından biri web uygulamalarının ve servislerinin güvenliğidir. Her ne kadar web uygulama geliştirmek için kullanılan .NET, JEE, PHP, v.b. uygulama çatıları eskiye oranla daha güvenli hale gelmiş olsalar da, en ciddi güvenlik zafiyetleri uygulama katmanında ortaya çıkarılmaktadır. Enforsec, web uygulama sızma testi ile web uygulamalarında bulunabilecek hem syntactic hem de iş mantığı zafiyetlerin bulunması ve çözüm önerilerinin listelenmesi amaçlanır. Enforsec, web uygulama sızma testi metodolojisi olarak OWASP Testing Guide ve Web Uygulama Güvenliği Kontrol Listesi’ni kullanmaktadır.

 

Mobil Uygulama Güvenliği Denetimi

Akıllı cihazların popülerliğine paralel olarak mobil uygulamaların kullanımı da yaygınlaşmıştır. Uygulama marketlerinde mobil uygulamaların indirilme sayıları çoktan milyarlar aşmış olup, bu uygulamaların web versiyonlarından daha az güvenli olması bir çok kurumsal şirket için kesinlikle kabul edilebilir bir durum değildir. Mobil uygulamalarının denetimi, hem klasik web uygulama denetimlerini hem de platforma özgü detaylı client side süreç analizlerini içermektedir.
Android, iOS başta olmak üzere Blackberry, Windows Mobile gibi mobil platform uygulamalarının Enforsec sızma testleri ile native ve mobil web uygulamalarındaki güvenlik zafiyetlerinin bulunması ve çözüm önerilerinin sunulması amaçlanır.

 

Güvenli Kaynak Kod Analizi Denetimi

Uygulamalar üzerinde yapılabilecek ve sonuçları olarak en belirleyici denetim şekli yazılım kaynak kod analizidir. Bu denetimde hedef yazılımın kaynak kodları, belirli bir zaman zarfında otomatik ve manuel denetimden geçirilirler. Kaynak kod analizi, klasik web/mobil uygulama denetiminde çıkabilecek güvenlik problemlerini bulabileceği gibi bulunması zor iş mantığı güvenlik zafiyetlerini de ortaya çıkarabilir. Kaynak kodu analizi ile direk güvenlik zafiyetlerinin yanında dolaylı olarak güvenliği etkileyebilecek kararlılık ve performans problemleri de kolaylıkla bulunmaktadır. Enforsec kaynak kod analizi ile, hem otomatik hem de manuel olarak kodlar incelenmesi ve problemlerin, çözüm önerileri ile beraber sunulması amaçlanmaktadır. Enforsec kaynak kod analizi metodoloji olarak OWASP Secure Coding Practices ve OWASP ASVS projelerini baz almaktadır.

 

Network Güvenlik Denetimi

Günümüzde bilginin güvenli bir şekilde iletilmesi, işlenmesi ve saklanması işlemleri hayati önem taşımaktadır. Network güvenlik denetimi ile kurumlar için bilginin iletilmesinde kullanılan IT alt yapısını oluşturan bileşenlerin (sunucular, kullanıcı bilgisayarları, network cihazları vb.) zafiyetlerin bulunması ve çözüm önerilerinin sunulması amaçlanır.

 

Endüstriyel Uygulamalar (SCADA) Güvenlik Denetimi

Kurumların üretim ve dağıtım sistemleri gibi kritik alt yapılarının yönetim ve izlenmesinde kullanılan uygulamaların (SCADA) güvenlik problemlerinin ortaya çıkartılması ve bu problemlere endüstriyel IT bakış açısı ile çözümler sağlanması amaçlanmaktadır.

 

Veritabanı Güvenlik Denetimi

Veritabanları kurum içinde hassas veriyi doğrudan barındıran sistemler olması nedeniyle saldırganların nihai hedef noktalarının başında gelir. Her ne kadar uzaktan erişimlere açık olmayan ve izole ortamlarda barındırılan sistemler olsalar bile, gerek uygulama katmanları üzerinden gerekse de kurum iç ağlarından yapılabilecek saldırılara maruz kalmaktadırlar. Veritabanı güvenlik denetimleri ile veritabanlarına özgü güvenlik zafiyetlerinin çıkartılması ve bunların çözüm yöntemlerinin sunulması amaçlanır.

 

Sosyal Mühendislik Testi

Sosyal Mühendislik testleri ile bilgi güvenliğinde insan faktörünün değerlendirilmesi amaçlanmaktadır. Bu testler, kurumun iş kolu göz önünde bulundurularak güvenlik politikalarının yeterliliği, çalışanların güvenlik farkındalığı, fiziksel güvenlik önlemlerinin sınanması gibi beşeri zafiyetler de tespit edilir. Denetimler sırasında genel sosyal mühendislik test yöntemleri kullanıldığı gibi kuruma ve kurumun iş kollarına özgü test senaryoları da hazırlanmaktadır.

 

Wireless Güvenlik Denetimi

Wireless Ağ Sızma Denetimleri kapsamında hedef alınan kablosuz ağ altyapısı, belirlenen lokasyonlar üzerinden kablosuz ağların keşfi, tespit edilen kablosuz ağlarda bulunabilecek güvenlik zafiyetlerinin tespiti ve çözüm önerilerinin sunulması amaçlanmaktadır.

 

DoS/DDoS Testi

DoS/DDoS saldırıları, sistemlerin veya uygulamaların hizmet veremez duruma gelmelerini hedefleyen bir saldırı çeşididir. Günümüz de saldırganlar tarafıdandan yaygın biçimde kullanılan saldırı türlerinden biridir. Gerçekleştirilecek DoS/DDoS testleri, sistemlerin veya uygulamaların DoS/DDoS saldırılarına karşı dayanıklılığını ölçmenize ve bulunan problemlerin giderilmesine katkı sunacak çözüm önerilerine imkan sağlayacaktır.