(+90) 216 504 15 00
+

Hizmetlerimiz

EndPoint Labs / Hizmetler

EndPoint

Tüm sistemlerde olması muhtemel güvenlik zaafiyetlerinin mutlaka “üçüncü bir göz tarafından” sınanması ve kontrol edilerek raporlanması proaktif bilgi güvenliğinin ana koşuludur. Gerekli olan güvenlik tedbirleri alınmış olsa bile her an gelişen teknoloji, işletim sistemleri için duyurulan yamalar, ağlardaki yönlendirici (router) ve/veya aktif sistemlerin yapılandırma (konfigürasyon) sürecindeki hatalı parametreler veya henüz keşfedilmemiş herhangi bir sebepten kaynaklanan kırılganlıklar, birşeylerin gözden kaçmasına yol açabilir.

Unutmamak gerekir ki, internetteki Siber saldırganların deneyim ve yetkinliği her koşulda sizden çok daha iyi olacaktır. Bu bağlamda gerek ihmal gerekse yukarıda saydıklarımız sebebiyle siber saldırılara maruz kalmadan önce sistem güvenliğinizi bu konudaki yetkinliği olan uzmanlara (beyaz şapkalı hacker, ethical hacker, sızma test uzmanı vs) test ettirmek ve raporlatmak gereklidir.

Yetkin bir test ekibinin uygulayacağı sistematik sızma testleriyle internet yoluyla oluşacak tehditlerin ortaya çıkartılması olasıdır. Bilgi ve İletişim teknolojilerinin baş döndürücü gelişimi ve dinamik yapısı sebebiyle salt sızma testlerinin tek başına yeterli olması beklenemz. Bu gerekçeyle sızma testleri sonrasında mutlaka çok katmanlı güvenlik mimarisinin kurumların Bilgi Güvenliği Politikalarında yerini alması zorunluluktur. Sızma testleri “ISO 27001, PCI, HIPAA” gibi uluslararası standartlarla zorunlu hale getirilmiştir. Ödüllü ekibimizle “PRO-AKTİF SİBER GÜVENLİK” hizmetlerinde “GÜVENLİK BOŞLUĞU TARAMA- PEN TEST-FUZZING” konularında hizmetinizdeyiz.

Değerlendirme Hizmetleri Detayları

Network Penetrasyon Testi

Pentest olarak açıklanan kavram “Penetration” Sızma sözcüğünden oluşan bir terimdir. Hedef olarak Belirlenen bir sisteme “Siber saldırgan” gözüyle yaklaşarak teknik olarak olası her yöntemin denenerek sızılması ve sistemin ele geçirilmesidir. Pentest deki asıl amaç güvenlik açığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkiliymiş gibi erişimler elde etmek ve bu durumu raporlayarak riski ortadan kaldırmaktır. Endpoint-labs yıllara dayalı bilgi birikimiyle ödüllü ekibinin oluşturduğu teknolojiyi uluslararası boyuta taşıyarak yarattığı sinerjiyle kurumların kendilerini “SİBER SALDIRILARA” karşı korumalarını sağlayan özgün “Proaktif Penetrasyon Testi” metodolojileri kullanır. Network Penetrasyon Testi kapsamında kablolu ve kablosuz ağ mimariniz baştan aşağıya hem iç hem de dış tehtidlere karşı denetlenir ve detaylarıyla size raporlanır.

Web Uygulama Penetrasyon Testi

Günümüz için web hizmetleri artık vaz geçilmez bir yere sahiptir. Küçük ya da büyük çoğu işletme en azından basit bir web sitesine sahip. Bu tür yerlerde sunulan hizmetler saldırganlar için iştah kabartıcı olanaklar sunmaktadır. Güvenlik boyutu düşünülmeden tasarlanmış web uygulamaları adeta birer ön kapı görevi görmekte, işletmelere ciddi hasarlar verebilmektedir. Endpoint Labs olarak bu tür uygulamaların derin analizi yapılmakta ve muhtemel hasarları müşterilerimize sunulmaktadır.

Zafiyet Analizi

Sisteminiz içerisindeki varlıklarınızın yanlış konfigürasyon, güncel olmayan yazılım v.b nedenlerden dolayı, istenmeyen şekilde sisteminize sızıp sızılmadığını ya da sisteminize sızma olasılığının analizinin yapıldığı iş sürecidir. Tam bir zaafiyet analizi için sisteminizde çalışan bilgisayarların detaylı bir şekilde incelenmesi gerekmektedir. Bu süreçte bilgisayar yazılımlarının hataları insan kaynaklı hatalar ve yanlış olan politikalar detaylı bir şekilde incelenir. İnceleme sonucunda rapor oluşturulurak sonuçların özeti çıkarılarak ilgili kişiye teslimi yapılır. Bu raporun sonucunda zaafiyet oluşturan kısımlar için neler yapılması gerektiği ile ilgili bir yapılacaklar listesi oluşturulur. Endpoint-Labs Olarak yetkin, lisanslı ve yılların verdiği tecrübe ile zaafiyet analizi konusunda, alanında uzman olmuş personeller ile ile hizmet vermekteyiz.

Sosyal Mühendislik Testleri

Sosyal mühendislik testleri pesonelinizin bilgi güvenliği bilincini ve dikkatlerinin ölçülmesi konusunda oldukça faydalı bir yöntemdir. Endpoint-Labs olarak piyasada en çok kullanılan sosyal mühendislik örneklerini uygulayarak İnsan Kaynaklı zaafiyet testleri ile personellerinizin hangi alanda eğitime ihtiyacı var, ne tür hatalar yapmaya müsaitler gibi soruların cevaplarına ulaşarak zaafiyet oluşturan noktaların testpitini sağlamaktayız.

İleri Düzey Tehdit İncelemesi (APT)

İleri Seviye Tehdit (Advanced Persistent Threat - APT) kavramı belli guruplar tarafından hedefli olarak yapılan siber tehditlere verilen isimdir. Genellikle kurumların hassas bilgilerine ulaşılmayı amaçlayan bu saldırılar, başarılı oldukları taktirde uzun süreler boyunca fark edilmeden sızdıkları sistemlerden bilgi çalmak üzere geliştirilmişlerdir. İleri seviye tehdit inceleme hizmetlerimiz kapsamıda EndPoint Labs olarak sisteminizin geniş bir ağ, web ve sosyal mühnedislik denetimi yapılırak oluşabilecek saldırı vektörleri değerlendirilir. Bu değerlendirmenin amacı kurumunuza yapılacak "hedefli saldırılar" karşısında oluşabilecek "en zayıf halka"'yı bulmaktır. APT hizmeti kapsamında sistemlerinize sensör yazılımları ve donanımları yerleştirilerek ağ trafiğiniz detaylı incelenerek raporlar çıkartılır. İleri Seviye Tehdit denetimi kurumunuzun baştan aşağıya dijital güvenliğini arttırmayı amaçlar, bu denetim kurumunuzun güvenlik profesyonellerinin ekibimizle yakın çalışmasını gerektiren bir çalışmadır.

Dijital Adli Bilişim

Kavram olarak kaynağı İngilizce “Computer Forensics” olan bu sözcük; bilgisayar yani “computer” ile Hukuk’a ait olan, “adli” anlamlarına gelen “forensic” kelimelerinin birleşmesinden doğmuştur. Türkçemizde “Adli Bilişim” terimi benimsenmiştir. Bazı kaynaklarda “Bilgisayar Kriminalistiği” terimine de rastlanır.
Terim olarak “Adli bilişim” elektronik ortamlardan elde edilen “sayısal” bulguların, çeşitli teknik donanım ve yazılımlar kullanılarak hukuki delillere dönüştürülme sürecidir. Bu yönüyle adli bilişimin hukuki boyutundan çok, teknik yönü ön plandadır. Bilişim sistemlerdeki bulguların, bunlardan ayrıştırılarak birer hukuki delile dönüştürülme süreci, oldukça zahmetli, son derece ileri teknolojik bilgi birikimi gerektiren özgün uzmanlık isteyen bir iştir.
EndPoint Labs denetim ekibimiz her tür Adli Bilişimsel(Veri kurtarma, Veri imha etme, Veri saklama, Veri dönüştürme, Şifreleme, Şifre çözme, Gizlenmiş dosya bulma ve sayısal delil toplama) hizmetleri vermekteyiz.

Kaynak Kodu İnceleme / Fuzzing

Fuzzing, uygulama programlarına yönelik ; rastgele veya odaklı olarak oluşturulan verilerin denetlenecek sisteme yollanarak, tepkileri görme ve uygulamayı bu yolla manipüle ederek çökme ve/veya istisnai durumlarını tespit etmeye yönelik Özel bir test yöntemidir. Bu kapsamda yapılmış olunan test Fuzzing veya Fuzz Testi olarak isimlendirilir. Günümüzde IEEE [Institute of Electrical and Electronics Engineers: 24765:2010] tarafından standart haline getirmiş olan Dayanıklılık /Robustness Testleri kapsamında uygulama yazılımlarının Dayanıklılık / Güvenirlik sınamaları için “Fuzzing Testleri” kriter kabul edilmiştir. Endpoint-labs ekibi olarak konusunda dünya lideri olan Finlandiya Codenomicon şirketinin “Defensics” ve Test ürünleriyle söz konusu testleri uyguluyoruz. Sistematik olarak, piyasada bulunan tüm çözümlerden çok daha etkin bir şekilde yazılım hatalarını ve güvenlik açıklarını ortaya çıkartan mükemmel sonuçlar elde ediyoruz.

Teknoloji Risk Hizmetleri

Bilgi Teknolojileri Danışmanlık Hizmetleri

En güncel BT yönetişim çerçeveleri olan COBIT, ITIL, CMMI, ISO20000, ISO27001, PMBOK, eTOM ve ValIT referanslarını rehber alarak müşterilerimizin gereksinimlerine uygun olarak özelleştirilmiş ve uygulanabilir yönetişim çözümleri tesis ettiğimiz hizmetler;

  • 1. Bilgi Teknolojileri Yönetişimi: Kurumsallaşma çalışmalarının içerisinde öncelikli bir gündem oluşturan BT yönetişim yapısının COBIT ve ValIT gibi referanslardan faydalanılarak tesis edilmesi ve kurumun BT performans ve risk göstergelerinin oluşturulması
  • 2. ISO 27001 Uyumlu Bilgi Güvenliği Yönetim Sistemi: Kurumlarda giderek artan bilgi güvenliği gereksinimlerinin ISO27002 kontrolleri esas alınarak Planla-Uygula-Kontrol Et-Önlem Al çevrimi bakış açısı ile tesis edilmesine ve ISO27001 belgelendirmesi için gereken kalite yönetim sisteminin oluşturulmasına destek verilmesi
  • 3. ISO 20000 ve ITIL Uyumlu BT Hizmet Yönetimi: Kurumlardaki BT örgütlerinin “hizmet sağlayıcı” ve “hizmet alan” bakış açısı ile ITIL ve ISO2000 gibi rehberler ışığında yeniden yapılandırılması
  • 4. BT Sürekliliği: İş sürekliliği gereksinimlerinin arasında önemli yer teşkil eden BT sürekliliği ile ilgili yönetim yapısının oluşturulması
  • 5. Proje Risk Hizmetleri: Kritik bilgi teknolojisi yatırımlarının hayata geçirildiği program veya proje yönetimi fonksiyonuna dış kaynak sağlanması, kurumlardaki proje yönetimi süreci içindeki kontrollerin tesis edilmesi, büyük ölçekli projelerde proje süresince veya kritik aşamalarında projenin gidişatı ile ilgili denetimlerin gerçekleştirilmesi
Bilgi Teknolojileri Denetim Hizmetleri

Yasal gerekliliklerin yanısıra, kalite ve verimliliği artırma amaçlarıyla, müşterilerimizin ihtiyaçları doğrultusunda kapsamını belirleyerek gerçekleştirdiğimiz BT denetim hizmetleri;

  • 1. Bilgi Teknolojileri Denetimi: Kurumlarda özellikle mali raporlama sürecinde kullanılan kritik bilgi ve iletişim teknolojileri varlıkları ile ilgili tesis edilen BT iç kontrollerinin tasarımı ve işletiminin risk-odaklı değerlendirilmesi
  • 2. ERP (Kurumsal Kaynak Planlama) Uygulaması Güvenlik Denetimi: Kurumda kullanılan ERP uygulamalarındaki bilgilerin işlenme yöntemlerinin güvenlik olarak gerçekleştirilmesini sağlayacak yetkilendirme yapısı, görevler ayrılığı gibi düzenlemelere uygunluğunun risk odaklı değerlendirilmesi
  • 3. BT Performans Denetimi: Kurumların sahip olduğu veya edindiği BT yatırımları ile ilgili fayda-maliyet bakış açısından durumlarının değerlendirilmesi
  • 4. Sözleşme Risk Denetimi: Kurumların hizmet aldığı tedarikçilerle olan tüm ilişkilerini düzenleyen sözleşmelerin performans, kalite, iş sürekliliği ve yasal gereksinimlere uygunluk gibi pek çok açıdan değerlendirilmesi
  • 5. Üçüncü Taraf Denetimi (ISAE 3402): Kritik destek hizmetleri sunan kurumların hizmet sağladıkları müşterileri açısından güvence teşkil eden ve hizmet sağlayıcısı olarak yeterliliklerini gösteren ISAE 3402 esaslı olarak tetkik edilmesi
  • 6. Gelir Güvence Denetimi: Gelir kayıplarının tespit edilmesi ve bu kayıpları önlemeye yönelik iç kontrollerin tasarımı ve işletiminin gelir korunmasına etkisi açısından değerlendirilmesi
  • 7. BT Kurumsal Olgunluk Seviyesi Değerlendirmesi: Kurumda işletilen BT iç kontrollerinin olgunluk seviyelerinin CMMI, COBIT ve ITIL gibi iyi uygulamalar baz alınarak değerlendirilmesi
  • 8. BT İç Denetim Destek (Dış Kaynak / Eş Kaynak Sağlama): Kurumlardaki iç denetim departmanlarına BT denetimi deneyimli dış kaynak sağlanması, dışarıdan iç denetim hizmeti sağlanması
  • 9. İç Denetim Araç Seçim Desteği: İç denetim ile ilgili gereksinimlerin karşılanması, maliyetlerin düşürülmesi ve verimlilik artışı sağlanması için ihtiyaç duyulan teknolojik çözümün seçilmesinde destek verilmesi