Siber Güvenlik Analizleri

-A +A

GÜVENLİ YAZILIM GELİŞTİRME

Güvenlik, yazılımlara ve sisteme sonradan eklenebilecek bir özellik değildir. Geliştirme sürecinin parçası olarak ele alınmalıdır. Geliştirme ve kurulum süreçlerinde güvenlik işlevlerini uygulamak hem daha kolay, hem daha etkilidir.

SGE kamu kurum/kuruluşlarına ve özel sektöre aşağıda belirtilen destekleri vermektedir:

  • Güvenli yazılım geliştirme eğitimleri
  • Yazılım geliştirirken yapılan yanlışlıklar sonucunda oluşan açıklıkları tespit etmek için yazılım kaynak kodu analizi
  • Güvenli yazılım geliştirme süreçlerini daha etkin kılmak için risk analizi ve tehdit modelleme
  • Yeni güvenli yazılım geliştirme yöntemlerini araştırma ve uygulama
  • Güvenli yazılım geliştirme çalıştayları ve konferansları gerçekleştirme

Bu konuda SGE birden fazla NATO bilgi sistem geliştirme projesinde görev almıştır. Bu projelerin sistem ve yazılım güvenlik akreditasyonu süreci kapsamında güvenli sistem tasarımı, akreditasyon dokümanlarının hazırlanması konusunda destek vermiş ve geliştirilen sistemlerin güvenlik testlerini gerçekleştirmiştir.

SIZMA TESTLERİ

SGE, hem kamu kurum/kuruluşları hem de özel sektör şirketlerine sızma testleri ve güvenlik denetlemeleri yapar. Sızma testleri ve güvenlik denetlemeleri bilişim altyapısındaki tüm bileşenleri kapsar. Testler tamamlandıktan sonra detaylı teknik raporlar ve yönetici özetleri üretilir. Ayrıca, çalışanların güvenlik bilincini arttırmak için teknik güvenlik testlerinin yanında sosyal mühendislik testleri de yapılır.

Daha etkin ve yüksek standartlarda testler gerçekleştirmek için SGE araştırmacıları tarafından yeni açıklık istismar (exploitation) yöntemleri ve araçları araştırılmakta ve geliştirilmektedir.

Bu alandaki bir diğer hedef de bilgi paylaşımıdır. Hem kamu, hem de özel sektörde gerçekleştirilen güvenlik testlerine ek olarak sektörde bu kapsamda gerçekleştirilen testlerin kalitesini yükseltecek çalışmalar yapılmaktadır. Testlerin kapsamının ve derinliğinin belirlenmesi, test sonuç raporlarının kalitesinin ve objektivitesinin arttırılmasına yönelik çalıştaylar organize edilmekte, düzenleyici kurumlarla ortak projeler gerçekleştirilmektedir.

BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ

SGE, kurum ve kuruluşlara deneyimli uzman kadrosuyla Bilgi Güvenliği Yönetim Sistemi kurulumu projeleri gerçekleştirmektedir. Çalışmalar çerçevesinde Uuslararası Bilgi Güvenliği Yönetimi standartlarına uygun kurumsal politikaların hazırlanması ve kurumların sahip olduğu bilgi sistemlerinin risk analizlerinin gerçekleştirilmesi konularında destek verilmektedir. Çalışmaların sonunda kurumların ISO 27001 sertifikası alma yönünde taleplerinin olması durumunda sertifikasyon süreci tamamlanıncaya kadar çalışmalar sürdürülebilmektedir.

RİSK ANALİZİ

SGE; askeri ve kamu kurumlarıyla özel sektör kuruluşları için bilgi güvenliği risk analizi hizmeti sunmaktadır. Risk analizi projeleri, yazılım ve sistem bazında yapılabilmektedir. Kurumsal bazda ISO 27001 sertifikasyonu kapsamında da risk analiz hizmeti verilmektedir. Bu kapsamda kurumun iş süreçleri analiz edilmekte, kritik iş süreçleri belirlenmekte; bu iş süreçlerinde yer alan varlıklar ve varlıklar arası bağımlılıklar çıkarılıp varlık değerlemesi çalışması gerçekleştirilmektedir. Bu fazda veri akış diyagramları da çıkartılmaktadır. Sonrasında bu varlıklar üzerinde etkili olan riskler için olasılık ve etki değerleri belirlenerek varlık ya da süreç için risk değerleri hesaplanmaktadır. Riskler projenin içeriğine uygun olarak detaylı bir şekilde dokümante edilmektedir. Tehditlerle uyumlu bir şekilde önlemler ISO 27001 ve NIST SP 800-53 standarlarında tanımlı isterlere göre çıkartılmakta, müşteri ile birlikte önlem olgunluk seviyeleri belirlenmekte ve proje içeriğine uygun şekilde dokümante edilmektedir.

Son olarak risk çalışması yapılarak önlemlerin uygulanmasından sonra kalan riskin değerlendirmesi yapılmaktadır.

Risk analizi süreci MAGERIT Sürüm 2’ye uygun şekilde PILAR aracı ile gerçekleştirilmektedir.

ZARARLI YAZILIM ANALİZİ

Özellikle son kullanıcı seviyesinde etkileri en çok hissedilen siber güvenlik tehdidi virüsler, truva atları, arka kapılar ve solucanlar gibi zararlı yazılımlardır. Günümüzde zararlı yazılımlar sadece para çalmak veya şöhret kazanmak için değil, gizli bilgileri ele geçirmek ve hizmetlerin erişilebilirliğine zarar vermek için de kullanılmaktadır.

Bu konunun önemini kavramış gelişmiş ülkeler korunma mekanizmalarının güncel tutulmasına yönelik önemli yatırımlar yapmaktadır. Bu paralelde Siber Güvenlik Enstitüsü, Zararlı Yazılım Analiz Birimi bünyesinde yürütülen çalışmalar ile güncel zararlı yazılım trendini yakından takip etmekte, ülkemizin kritik altyapı ve servislerine yönelik tehdit oluşturabilecek zararlı yazılımların karakteristiklerini analiz etmektedir. Elde edilen sonuçlar ve alınması gereken önlemler bilgi paylaşım ortamları üzerinden ilgili kurumlara sunulmaktadır.

Zararlı yazılımlar günümüzde Gelişmiş Siber Tehdit Analizi (APT) adı altında farklı bir boyutta da tehdit oluşturabilmektedir. Ülkeler diğer ülkelerin sahip olduğu stratejik öneme sahip altyapıları etkilemek veya istihbarat elde etmek amacıyla zararlı yazılımları kullanabilmektedir. Siber Güvenlik Enstitüsü, önemli kamu kurum/kuruluşları ile kritik altyapı olarak değerlendirilebilecek özel kuruluşlardan talep gelmesi durumunda hassas verilerinin kontrol dışı yollarla çıkışının tespitine yönelik çalışmalar gerçekleştirmektedir.