Web Uygulaması Güvenliği

Bilgi ve Bilişim Güvenliğini Koruma Merkezi,  Güvenlik Denetim Metodolojisi kullanılarak yapılan Web Uygulama Güvenlik Denetimleri ile, web uygulamalarında bulunan teknik, mantıksal ve işlevsel tüm güvenlik problemleri tespit edilmektedir.

Web uygulamalarına yapılan testler OWASP Top 10, WASC Threat Classification listelerinde bulunan kategoriler kapsamında, web uygulamalarında bulunabilecek tüm mantıksal ve teknik güvenlik risklerini içermektedir. Uygulamalar, aynı seviyede 2 farklı kullanıcı adı kullanılarak yapılmaktadır. Bu sayede kullanıcılar arası oluşabilecek güvenlik problemleri, kimlik doğrulama ve yetkilendirme problemleri detaylı olarak test edilmektedir.

Hizmet anlaşması çerçevesinde, tespit edilen güvenlik açıklarından yararlanılarak, belirlenen hedeflere sızma denemeleri gerçekleştirilebilir.

Raporlama
Kurumunuza özel olarak oluşturulan Web Uygulama Denetimi hizmet raporları, Yönetici Özeti ve Teknik Detay şeklinde 2 farklı rapordan oluşmaktadır. Raporlama dili Türkçe veya İngilizce olabilmektedir.

Raporlarda, tespit edilen güvenlik problemleri; detaylı bir açıklamayla birlikte oluşturabilecekleri etki, referanslar, nokta atışı kalıcı çözüm önerileri, örnek kodlar ve geçici çözümlerle birlikte yer almaktadır.

Web Uygulama Denetimi kapsamında ek olarak, WASC Threat Classification listesindeki kategorilere referanslar bulunmaktadır.

Uzman Profili
Bilgi Koruma uzmanları sektörde 10 yılı aşkın tecrübeye sahiptir. İşlerini tutkuyla icra eden uzmanlarımız, Internet altyapısı, ağ, sistem yönetimi, uygulama geliştirme, güvenlik ürünleri gibi teknik bilgi ve birikimlerini; finans, psikoloji gibi bütünleyici bir çok alandaki eğitim ve araştırma geçmişleriyle birleştirirler.

Denetim ekibi CISSP, CISA, OSCP, CEH gibi sertifikasyonlara sahiptir.

Metodoloji ve Araçlar
Bilgi Koruma Güvenlik Denetim Metodolojisi, uluslararası denetim ve penetrasyon testi standartları ve dokümantasyonları baz alınarak, Bilgi Koruma uzmanlarının aktif tecrübesiyle şekillendirilmiş denetim standartımızdır (OSSTMM, PTES, OWASP, NIST 800-42). Tüm denetimler bu standartlara uyularak yapıldığından, güvenlik denetimlerinin, tüm ağlarda aynı kalitede sunulabilmesi ve üst seviyede hizmet sağlanması amaçlanır. Bilgi Koruma Denetim Metodolojileri, denetimler sırasında edinilen tecrübeler ve yenilenen tehditlerle düzenli olarak güncellenmektedir.

Bu metodolojiye dayandırılan güvenlik denetimleri, ticari ve açık kaynak kodlu uygulamalar kullanılarak gerçekleştirilmektedir. Ayrıca denetimler sırasında Bilgi Koruma uzmanları tarafından, sadece Bilgi Koruma iç kullanımı için geliştirilen ve bazıları dış paylaşıma da açılan, özel denetim yazılımları kullanılmaktadır.
Yazılımların dışında, otomatik olarak denetlenmesi mümkün olmayan mantıksal ve teknik güvenlik problemleri de, Bilgi Koruma uzmanları tarafından detaylı olarak incelenmekte ve birebir denetlenmektedir.

Bilgi Koruma tarafından yapılan güvenlik denetimleri, 4 yıl boyunca, uluslararasi bir kuruluş olan MasterCard, Visa ve PCI Security Standards Council tarafından oluşturulan standartlar tarafından da düzenli olarak onaylanmıştır. Yapılan denetimler, Bilgi Koruma denetim ekibi tarafından birebir, ayrıntılı ve detayları hedef ağlara göre uyarlanarak yapılmaktadır.