SGE
Hizmetler
IOT Güvenlik Araştırmaları
Tipik bir IoT Sızma Testi aşağıdaki adımları içerir:
1. IoT Hizmet Kapsamının Tespiti
2. Bilgi Toplama
3. Güvenlik Açığı Değerlendirmesi
4. Sömürü Aşaması
5. Raporlama
- Güvenlik testlerinin en etkin şekilde yapılmasını sağlamak için bütün ihtiyaçlarınız dinlenir ve bilgi alışverişinde bulunulur. Böylece ilk güvenlik toplantısında kapsam, tür ve gerekli bilgiler belirlenir.
- IoT cihazlarında fiziksel güvenlik testlerine ihtiyaç duyulup duyulmayacağına, hangi bileşenlerin teste dâhil olacağına bu toplantıda karar verilir.
Bu adımda ilk olarak IoT cihazlarındaki saldırı vektörleri belirlenir. Bir IoT cihazındaki temel saldırı vektörleri aşağıdaki gibidir:
- Donanım Saldırılarının Uygulanması
- Firmware İncelemeleri (Tersine Müh Çalışmaları vs.)
- Ağ Saldırılarının Uygulanması
- Kablosuz Ağ Saldırılarının Uygulanması
- Mobil ve Web Uygulamaları
- Sızma Testleri
- Bulut Hizmetleri Sızma Testleri
Güvenlik açığı değerlendirmesi, ürün yazılımı ve uygulama analizi ile başlanır. Firmware analizinde aşağıdaki adımlar kullanılır:
- İkili Analiz (Binary Analiz):
- Tersine mühendislik,
- Sistemde doküman analizi (hassas bilgi veya sertifika bulma amaçlı),
- Uygulama analizi sırasında uygulamanın türüne göre gerekli tüm uygulama testlerinin yapılması.
- İletişim Protokolleri Araştırılması:
- Haberleşme protokollerinin belirlenmesi (BLE, Zigbee, LoRA, 6LoWPAN),
- İletişim protokollerini dinleme (sniffing), değiştirme ve yeniden yürütme (relay-replay saldırıları),
- Sıkışma tabanlı saldırılar,
- Daha sonra bilgi toplama adımında belirlenen IoT cihazları ile iletişim kuran üçüncü parti servisler (mobil uygulama API servisleri vb.).
- Fiziksel Güvenlik Testleri:
- Haricî USB Erişimi,
- Dış bağlantı noktaları erişimi,
- Konum ve depolama ortamı,
- Hata ayıklama konsolu erişiminin kullanılabilirliği,
- Seri konsol erişiminin kullanılabilirliği,
- İzin verilen bağlantı yöntemleri (kablosuz, kablolu, Bluetooth vb.),
- Test kontrolleri.
- Bu aşama, bilgi toplama ve güvenlik açığı değerlendirme bölümlerinde
toplanan güvenlik açıklarından yararlanmayı amaçlar. Bu sayede sızma
testi hizmeti alan taraf, gerçek bir siber saldırı sonrası olası hasarı görebilir.
Ayrıca bulunan zafiyetler için riskler değerlendirilir. Benzer güvenlik
açıkları, yararlanma kolaylığına, yararlanmak için gereken bilgilere
erişime ve benzeri hususlara göre farklı kritiklik seviyelerine sahip olabilir. - Siber güvenlik uzmanları, kötü niyetli bir saldırganın bu adımda neler
yapabileceğini göstermek adına -mümkün olduğunca sistemlere zarar
vermeden- gerekli saldırı tekniklerini kullanır.
- Tespit edilen tüm güvenlik açıkları ve bulgular raporlanır. Rapor,
basit bir dilde, geliştiriciler tarafından anlaşılabilir şekilde, ekran görüntüleri ile desteklenen bir standartta hazırlanarak taraflara sunulur. - Rapor, testin amacı, kapsamı, genel test metodolojisi, gerçekleştirilen
güvenlik testleri ve son olarak değerlendirme ve yöneticiler için özet
bilgiler içeren bölümlerden oluşur.
Bu sistemlerin kullanımının yaygınlaşması, dramatik etkiler yaratabilecek güvenlik açıklarına sebep olur. Siber Güvenlik Enstitüsü, IoT sistemler hakkında güvenlik araştırmaları yapar, güncel zafiyetleri takip ederek donanımsal ve yazılımsal sızma testleri gerçekleştirir. Sızma testleri sonucunda detaylı teknik raporlar ve yönetici özetleri sunar. Kurumların güvenlik konusunda
bilinçlendirilmesine ve olası güvenlik zafiyetlerinin giderilmesine katkı sağlar.
- Yazılım Planlama ve Ön Geliştirme Aşamasında:
- Güvenli bir mimari tasarlamanıza yardımcı olmak,
- Geliştiriciler için izlenecek en iyi uygulamaları önermek,
- DevOps döngüsüne sürekli IoT güvenlik testini entegre etmek.
- Geliştirme Sırasında:
- Ürünü güvenlik gereksinimleri ile yinelemeli olarak değerlendirmek,
- Sürekli güvenli kod incelemesi yapmak,
- Otomatik bir sürecin parçası olarak güvenlik bakış açısını dâhil etmek.
- Geliştirme Sonrası:
- Tüm ana sürümler için sızma testleri gerçekleştirmek,
- Güvenlik programını yönetmek ve haricî geliştiricilerle etkileşim
kurmak, - Yama yönetimi ve güvenlik güncellemeleri önerileri sunmak.
Sızma Testleri
SGE hem kamu kurum/kuruluşları hem de özel sektör şirketlerine sızma testleri ve güvenlik denetlemeleri yapar. Sızma testleri ve güvenlik denetlemeleri bilişim altyapısındaki tüm bileşenleri kapsar. Testler tamamlandıktan sonra detaylı teknik raporlar ve yönetici özetleri üretilir. Ayrıca, çalışanların güvenlik bilincini arttırmak için teknik güvenlik testlerinin yanında sosyal mühendislik testleri de yapılır.
Daha etkin ve yüksek standartlarda testler gerçekleştirmek için SGE araştırmacıları tarafından yeni açıklık istismar (exploitation) yöntemleri ve araçları araştırılmakta ve geliştirilmektedir.
Bu alandaki en temel hedeflerden biri güvenli bilgi paylaşımıdır. Hem kamu hem de özel sektörde gerçekleştirilen güvenlik testlerine ek olarak sektörde bu kapsamda gerçekleştirilen testlerin kalitesini yükseltecek çalışmalar yapılmaktadır. Testlerin kapsamının ve derinliğinin belirlenmesine, test sonuç raporlarının kalitesinin ve objektivitesinin arttırılmasına yönelik çalıştaylar organize edilmekte, düzenleyici kurumlarla ortak projeler gerçekleştirilmektedir.
Güvenlik Denetimleri
Güvenlik, yazılımlara ve sisteme sonradan eklenebilecek bir özellik değildir. Geliştirme sürecinin parçası olarak ele alınmalıdır. Geliştirme ve kurulum süreçlerinde güvenlik işlevlerini uygulamak hem daha kolay hem daha etkilidir. SGE bu bağlamda “Güvenlik Denetimleri” hizmeti vermektedir.
- Güvenli yazılım geliştirme eğitimleri,
- Yazılım geliştirirken yapılan yanlışlıklar sonucunda oluşan açıklıkları tespit etmek için yazılım kaynak kodu analizi,
- Güvenli yazılım geliştirme süreçlerini daha etkin kılmak için risk analizi ve tehdit modelleme,
- Yeni güvenli yazılım geliştirme yöntemlerini araştırma ve uygulama,
- Güvenli yazılım geliştirme çalıştayları ve konferansları gerçekleştirme.
Risk Analizi
SGE, askerî ve kamu kurumlarıyla özel sektör kuruluşları için bilgi güvenliği risk analizi hizmeti sunmaktadır. Risk analizi projeleri, yazılım ve sistem bazında yapılabilmektedir. Kurumsal bazda ISO 27001 sertifikasyonu kapsamında da risk analiz hizmeti verilmektedir.
Bu kapsamda kurumun iş süreçleri analiz edilmekte, kritik iş süreçleri belirlenmekte; bu iş süreçlerinde yer alan varlıklar ve varlıklar arası bağımlılıklar çıkarılıp varlık değerlemesi çalışması gerçekleştirilmektedir. Sonrasında bu varlıklar üzerinde etkili olan riskler için olasılık ve etki değerleri belirlenerek varlık ya da süreç için risk değerleri hesaplanmaktadır. Riskler projenin içeriğine uygun olarak detaylı bir şekilde dokümante edilmektedir. Tehditlerle uyumlu bir şekilde önlemler ISO 27001 ve NIST SP 800-53 standartlarında tanımlı isterlere göre çıkartılmakta, müşteri ile birlikte önlem olgunluk seviyeleri belirlenmekte ve proje içeriğine uygun şekilde dokümante edilmektedir. Son olarak risk çalışması yapılarak önlemlerin uygulanmasından sonra kalan riskin değerlendirmesi yapılmaktadır.