GÜV.08 EK1 — Hizmet Kapsamı
Kapsam
Hizmet kapsamına; şirketin kullanımına tahsis edilmiş ve internetten erişilebilir durumda olan IP adreslerinden erişilebilen sunucu ve ağ cihazları ile web teknolojileri tabanlı uygulamalar girmektedir. Aşağıda detayları verilen hizmetler, şirketin halka açık kaynakları dışında herhangi bir kaynağına erişimi olmayan kişiler canlandırılarak ("Yabancı Saldırgan Profili") gerçekleştirilecektir. Şirket ile imzalanacak olan ek sözleşme ile burada tanımlanan kapsam, bu kapsamdan daha kısıtlı olmayacak şekilde şirkete özel olarak tanımlanacaktır.
Sistem ve Ağ Altyapısı için Zafiyet Tarama ve Sızma Testi
Yöntem: Gerçekleştirilecek çalışmalar, hizmeti sunacak firmanın Sızma Testi ve Zayıflık Analizi metodolojisine uygun olarak gerçekleştirilecek ve aşağıdaki adımlardan oluşacaktır:
- Servis/uygulama tespiti: İnternete açık olduğu beyan edilen tüm sunucu ve cihazlar port taramasından geçirilerek servisleri ve uygulama sürümleri hakkında bilgi toplanır.
- Açık taraması: Önceki adımda belirlenen servisler ve uygulama sürümleri, olası açıklıkları tespit etmek üzere taranır.
- Hatalı bulguların kontrolü: Tarama sonuçlarının kontrol edilmesi için elle inceleme yapılır. Tarama araçları tarafından bulunan güvenlik açıkları manuel olarak kontrol edilerek hatalı olanların belirlenip elenmesi sağlanır. Elle incelemeye ek olarak nihai açıklar şirket BT yönetimine teyit ettirilir.
- Sızma: Doğrulanan açıklar üzerinden çeşitli kodlar ve araçlar yardımıyla saldırı denemeleri yapılır. İstismar edilecek zafiyetlere ilişkin ilgili şirketten onay alınacak ve denemelerin uygulamalara veya verilere zarar vermemesi amaçlanacaktır.
Raporlama: Çalışmanın bir çıktısı olarak; yönetici özeti, zafiyetlerin açıklaması, iş üzerine etkisi, düzeltilebilmesi için harcanacak çaba, iyileştirme önerileri ve gerekli ilave bilgileri içeren bir rapor şirkete sunulacaktır.
Tekrar ve doğrulama testleri: Nihai test raporu iletildikten sonra en fazla 3 ay içinde, şirketin yazılı talebi ile raporlanan açıkların giderilip giderilmediği kontrol edilerek son durum hizmeti alan şirkete raporlanacaktır. Bu adımda hizmeti sunacak firmanın yeni bulgular tespit etmesi beklenmeyecektir.
Web Uygulamaları için Zafiyet Tarama ve Sızma Testi
Yöntem: Gerçekleştirilecek çalışmalar, hizmeti sunacak firmanın Web Uygulaması Sızma Testi ve Zafiyet Analizi metodolojisine uygun olarak gerçekleştirilecek ve aşağıdaki adımlardan oluşacaktır.
Web uygulaması güvenlik kontrolleri: Web uygulamalarına yönelik olarak, güncel OWASP Top 10 ve OWASP Web Security Testing Guide (WSTG) referans alınarak, asgari olarak aşağıdaki kategorileri içeren detaylı taramalar ve denemeler gerçekleştirilecektir.
- Veri kontrolleri:
- Girdi denetimi
- Çıktı denetimi
- Değiştirilen içeriğin tespiti
- HTML etiketlerinin filtrelenmesi
- SQL injection
- Sunucu taraflı girdi denetimi
- URL yönlendirmeleri
- Diğer injection yöntemleri
- XSS
- HTTP yanıt bölme (response splitting)
- Oturum yönetimi kontrolleri:
- Giriş sonrası oturum bilgisi yenileme, oturum sabitleme
- Çerezlerin içeriği
- Oturum sonlandırma
- Oturum bilgisinin URL içinde taşınması
- Oturum çalma (session riding)
- CSRF
- Kimlik yönetimi, doğrulama ve iş mantığı kontrolleri:
- Yetki artırımı
- Yetki dışı işlem
- Şifre politikaları
- Bilinen hesap/şifre bileşenlerinin denenmesi
- Basit kimlik doğrulama kullanımı
- Kimlik doğrulamanın atlatılması
- Çıkış işlevi
- Yol çaprazlama (path traversal)
- Yetki yükseltme (privilege escalation)
- Uygulama mantığı kontrolleri
- Web servis kontrolleri:
- Web servislerinin tespiti
- Web servisi detay tarama
- REST
- SOAP
- GraphQL
- Bilgi sızdırma ve ayar yönetimi kontrolleri:
- Yardım sayfaları
- TLS kullanımı (asgari TLS 1.2)
- HTML yorumları (comment)
- Sunucu bilgisi
- Ayrıntılı hata mesajları
- Dosya uzantıları
- Yedek dosyalar
- Yönetici arayüzü
- Desteklenen HTTP metotları ve XST açıklığı
- Sitenin TLS sertifikasının geçerlilik testi
- Meta data kontrolleri
- Hizmet dışı bırakma kontrolleri:
- Güvenlik resmi (CAPTCHA) kullanımı
- Web sunucusuna yönelik uygulama katmanı hizmet dışı bırakma saldırıları
- İstemci talebi uyarınca bellekte nesne oluşturma (user specified object allocation)
- Fazla veri döndüren işlemler
- Doğrulama: Tarama sonuçlarının kontrol edilmesi için elle inceleme yapılır. Elle incelemeye ek olarak nihai açıklar şirket BT yönetimine teyit ettirilir.
- Sızma: Doğrulanan açıklar üzerinden çeşitli kodlar ve araçlar yardımıyla saldırı denemeleri yapılır. İstismar edilecek zafiyetlere ilişkin ilgili şirketten onay alınacak ve denemelerin uygulamalara veya verilere zarar vermemesi amaçlanacaktır.
Raporlama: Çalışmanın bir çıktısı olarak; yönetici özeti, zafiyetlerin açıklaması, iş üzerine etkisi, düzeltilebilmesi için harcanacak çaba, iyileştirme önerileri ve gerekli ilave bilgileri içeren bir rapor şirkete sunulacaktır.
Tekrar ve doğrulama testleri: Nihai test raporu iletildikten sonra en fazla 3 ay içinde, şirketin talebi ile raporlanan açıkların giderilip giderilmediği kontrol edilerek son durum hizmeti alan şirkete raporlanacaktır. Bu adımda hizmeti sunacak firmanın yeni bulgular tespit etmesi beklenmeyecektir.
BT Güvenlik Danışmanlığı
Şirket, bilgi güvenliği alanındaki ihtiyaçları doğrultusunda danışmanlık hizmeti alabilir. Danışmanlık hizmetinin kapsamı, hizmeti alacak şirketin ihtiyaçları doğrultusunda belirlenir. Danışmanlık hizmeti; ağ ve altyapı sistem ihtiyaçlarının belirlenmesi, kurulum ve yapılandırma işlemlerini kapsayabileceği gibi, bilgi güvenliği yönetim süreci ile ilgili konuları da içerebilir.
BT güvenlik danışmanlığı hizmet örnekleri:
- Kanun ve regülasyonlara uyum hizmetleri
- Siber suç analizi (güvenlik ihlal olay incelemesi)
- Olay müdahale
- Kriz yönetimi
- APT ataklarının tespiti ve analizi
- Ağ ve güvenlik altyapı denetimleri
- Firewall ve IPS kural analizi
- Yük testleri
- Güvenli yazılım geliştirme danışmanlığı
- ICS sistemlerine özel güvenlik testleri
- BT güvenliği personel eğitim ihtiyacının belirlenmesi
- SOC danışmanlığı
- İş sürekliliği danışmanlığı
- Active Directory ve Microsoft 365 / Exchange Online denetimleri
- Son kullanıcı farkındalık eğitimleri
- Veri sınıflandırma danışmanlığı
- Yaşanan siber olaylardan ve açıklanan zafiyetlerden oluşacak istihbarat servisi desteği
- Sosyal medya hesaplarının güvenlik durumlarının incelenmesi