BGA Security tarafından her yıl yaklasık olarak 200’e yakın
sızma testi projesi gerçeklestirilmektedir. Bu projeler standart
olmayıp müsterilerin taleplerine göre farklı boyutlarda
olabilmektedir. Bu rapor yapılan çalışmalarda karşılaşılan zafiyetler ve istismar yöntemlerinin istatistiklerini paylaşmak amacıyla hazırlanmıştır.
2. BGA HakkInda
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği
sektörüne profesyonel anlamda destek olmak amacıyla kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı
ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara, İstanbul, Azerbaycan ve ABD’de
sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak
Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır.
Yönetİcİ Özetİ
BGA Security tarafından her yıl yaklaşık olarak 200’e yakın
sızma testi projesi gerçekleştirilmektedir. Bu projeler stan-
dart olmayıp müşterilerin taleplerine göre farklı boyutlar-
da olabilmektedir.
Müşterilerin sızma testi gerçekleştirmedeki motivasyon-
larına (güvenlik endişeleri, yasal zorunluluklar, yatırım ön
teşvik koşulları vs.) göre talep edilen kapsam ve test detayı
değişiklik göstermektedir.
RAKAMLARIN DİLİ İLE 2020
Aşağıda genel olarak sızma testi kapsamında yer alan kategoriler verilmiştir.
Veritabanı Sistemleri
ATM Sistemleri
Dağıtık Servis Dışı Bırakma Testleri
VoIP Sistemleri
VPN Sistemleri
NAC Sistemleri Testleri
Antivirüs Sistemleri
EKS (Kritik Altyapı Sistemleri)
Dış Ağ
Sosyal Mühendislik Testleri
Web Uygulama
Mobil Uygulama
Yerel Ağ Sızma Testleri
Kablosuz Ağ Sistemleri
E-posta Servisleri
DNS Servisleri
Bu çalışmanın ilerleyen bölümlerinde gerçekleştirilen test sonuçları genel ve en yaygın test kategorileri bünyesinde iki
ana başlık altında incelenecektir.
3. Oltalama
1%
Web
49%
Mobil
3%
Sistem
31%
Network
6,9%
E-Posta
2%
DNS
3%
Veritabanı
2%
Kablosuz
1%
DDOS
1%
VOIP
0.1%
Oltalama Web Mobil Sistem Network E-Posta DNS Veritabanı Kablosuz DDOS VOIP
Bulgularin Genel Olarak Değerlendİrİlmesİ
Kategorİsel Olarak Bulgu İstatİStİklerİ
Bu bölümde sızma testi çalışmaları sonunda ortaya çıkan bulguların; kategorileri, etkileri, erişim noktaları ve sebep-
leri üzerinden genel bir değerlendirme yapılacaktır.
Aşağıda sızma testi projeleri sonrasında tespit edilen bulguların kategorisel olarak istatistikleri verilmiştir.
RAKAMLARIN DİLİ İLE 2020
Grafik incelendiğinde web uygulamaları üzerinde var olan zafiyetlerin tüm bulgu pastasının yarısını oluşturduğu
görülmektedir. Bu aynı zamanda kurumların zafiyetlerinin yarısının uzaktan erişilebilir sistemler üzerinde var
olduğu anlamına gelmektedir.
Tespit edilen sonuçlar, güvenliğin sağlanması adına, dışarı açılacak sistemlerin yönetimini gerçekleştiren
personellerin güvenlik eğitimlerinin önemini ve dış dünyaya açılmadan önce sistemlerin teste tabi tutulmasının
gerekliliğini de vurgulamaktadır.
Pastanın en büyük ikinci dilimini ise yerel ağda yönetilen sistemlerin (sunucu ve istemci) oluşturduğu görülmekte-
dir. Bu bulguların önemli bir kısmının sebebi ise hatalı veya eksik yapılandırmadan kaynaklanmaktadır. İlerleyen
kısımlarda zafiyetlerin kaynağı bölümü altında bu konuya daha detaylı değinilecektir.
Grafik 1 : Kategorisine Göre İstatistikler
4. Bu kategoride sızma testi projelerinde tespit edilen bulguların sistemlerdeki etkilerini ortaya koyan bir analiz gerçekleştirilecek-
tir.
Aşağıda tüm projelerin bulgularının tekil olarak sistemler üzerindeki etkilerini gösteren bir grafik verilmiştir.
Yine aşağıda, grafik üzerinde yer alan bulgu etkilerinin ne anlama geldiğine dair açıklamalar verilmiştir. Ayrıca grafik değer-
lendirilirken bir bulgunun birden fazla etkisinin olabileceğine dikkat edilmelidir.
Gizlilik İhlali: Sistem üzerinde gerçekleştirilen iletişim
verisinin veya sistemde depolanan/işlenen verinin
ifşasının söz konusu olması.
Bilgi İfşası: Sistemsel (sunucu, servis, protokol,
platform, framework vs.) bilgilerin ifşasının söz konusu
olması.
Yetkisiz Erişim: Politika, yönetmelik veya kabul görmüş
tavsiyeler ışığında erişim hakkı bulunmamasına
rağmen ilgili nesneye (port, protokol, panel, sayfa, veri
vs.) erişim sağlanması.
Servis Dışı Bırakma: İlgili servisin hizmet dışı kalarak
masum kullanıcı ve sistemlerin ilgili servis ile iletişim
kuramaması.
Bulgu Etkİ İstatİstİklerİ
RAKAMLARIN DİLİ İLE 2020
Servis Dışı Bırakma
%11
Gizlilik İhlali
%21
Yetkisiz Erişim
%37
Bilgi İfşası
%31
Grafik üzerinde görüldüğü gibi tespit edilen bulguların önemli bir kısmı sistemlerde yetkisiz erişim ile sonuçlanmaktadır. Yetki-
siz erişim sonucu saldırganlar, sistemler ile etkileşime geçip direkt olarak komut çalıştırabildiği gibi yetkisinin bulunmadığı
panellere ve servislere erişim sağlayarak hesap elde etme girişimlerinde bulunabilir.
Yine grafik üzerinde görüldüğü gibi ikinci büyük etki bilgi ifşası olarak kaydedilmiştir. Zafiyet barındıran sistemlerin mimari ve
bilişim sistemlerinin yönetimi ile ilgili saldırganlara bilgi sağlamada etkili olduğu görülmektedir. Bu etki ile saldırgan, sistemler
üzerinde erişim sağlayamasa da başka saldırılarda kullanmak üzere bilgi toplayabilmektedir.
Grafik 2: Bulgu Etkisine Göre İstatistikler
5. Bu başlık altında, tespit edilen bulguların erişim noktalarına göre bir analiz gerçekleştirilecektir. Gerçekleştirilen sızma
testleri sonrasında ortaya çıkan zafiyetlerin istismarına dair bilgiler ve bu zafiyetlerdeki saldırganların erişim noktaları,
kurumun güvenlik yatırımını (personel, eğitim, cihaz vs.) hangi noktada yoğunlaştırması gerektiği konusunda önemli bir
referans olabilir.
BGA Security olarak gerçekleştirilen sızma testlerinde tespit edilen bulguların birçoğu dış dünyadan erişilebilen bulgular
olmasına rağmen kritik düzeye sahip bulguların sayısı yerel ağda daha fazla olduğu tespit edilmiştir.
Aşağıda, sızma testleri sonrasında tespit edilen bulguların erişim noktalarına göre ayrımını gösteren bir grafik verilmiştir.
Grafikte görüldüğü üzere bulguların büyük çoğunluğunun erişim noktasının internet üzerinden olduğu kaydedilmiştir. Dış
dünyadan erişilebilir durumda olan zafiyetlerin daha fazla olması göz önünde bulundurulduğunda dış dünyadan gelebi-
lecek saldırıların önlenmesi için sadece kural-erişim kısıtlama bazlı değil aynı zamanda saldırı analiz ve engelleme bazlı
önlemlerin alınması gerektiği görülmektedir.
Bu noktada dış dünyadan erişilebilen zafiyetlerin çok olması tüm bu zafiyetler ile sistemler üzerinde erişim elde edile-
bildiği anlamına gelmemektedir.
Erİşİm noktaSI İstatİstİKlerİ
RAKAMLARIN DİLİ İLE 2020
İnternet 60%
Yerel Ağ 38%
Kablosuz Ağ 2%
İnternet Yerel Ağ Kablosuz Ağ
Grafik 3 : Erişim Noktalarına Göre İstatistikler
6. Bulgu Sebebİ İstatİstİklerİ
Bulgu sebepleri incelendiğinde en fazla zafiyetin “Yapılandırma Eksiklikleri” kaynaklı olduğu görülmektedir. Her yıl
onlarca yeni kurumlardaki gözlemlere dayanarak, bu durumun en büyük sebebinin eleman yetersizliği olduğu
söylenebilir.
Yetersiz eleman kadrosuyla yürütülmeye çalışılan bilgi teknoloji operasyonları, varlıkların detaylı ve güvenli
yapılandırma yöntemlerini bilmeksizin devreye alınmasıyla sonuçlanmaktadır. Bu da operasyonel olarak bir sorun
çıkarmasa da güvenlik anlamında ciddi sorunlar çıkarmaktadır.
Sebeplerin ikinci büyük yüzdesini ise “Uygulama Geliştirmedeki Eksiklikler/Hatalar” oluşturmaktadır. Bu durum,
kurumlara yöneltilen anket ve gözlemler sonucuyla da desteklendiği üzere güvenli yazılım geliştirme eğitimi alan
yazılımcıların oranının yazılım geliştiricileri arasında bir hayli düşük olmasından kaynaklanmaktadır.
RAKAMLARIN DİLİ İLE 2020
Grafik 4 : Bulgu Sebebine Göre İstatistikler
Her bulgunun bir sebebi bulunmaktadır. Aynı hataların tekrarlanmaması ve kurumsal hafıza oluşması adına testler
sonrasında elde edilen bulgu sebebi istatistikleri detaylı bir şekilde incelenmelidir.
Bu sebeplerin düzgün raporlanması durumunda ise kurumlar, zafiyetlerin giderilmesine odaklandığı gibi zafiyetler-
in kaynaklarının da giderilmesine odaklanabilmektedir.
Aşağıda tespit edilen bulguların sebeplerine göre oluşturulmuş bir grafik verilmiştir.
6,30%
2,30%
9,20%
48,70%
3,60%
6,00%
5,30%
0,86%
1,96%
3,90%
2,00%
4,00%
2,60%
1,10%
2,10%
0,00% 5,00% 10,00% 15,00% 20,00% 25,00% 30,00% 35,00% 40,00% 45,00% 50,00%
Güncel Olmayan Yazılım Kullanımı
İçerik Düzenleme Hatası
Uygulama Geliş�rmedeki Eksiklikler/Hatalar
Yapılandırma Eksikliği/Hatası
Girdi Doğrulama Eksikliği
Kimlik Doğrulama Mekanizmasındaki Eksiklikler
Güncel Olmayan İşle�m Sistemi Kullanımı
Ağ Altyapısının Yetersizliği
Personelin Güvenlik Farkındalığının Eksikliği
Uygulama İşleyiş/Man�k Hatası
Yetkilendirme Hatası
Uygulama Güvenlik önlemlerindeki Eksiklikler/Hatalar
Oturum Yöne�mindeki Eksiklikler/Hatalar
Kullanıcı Yöne�mindeki Eksiklikler/Hatalar
Uygulama Hata Dene�mi Eksikliği
7. Bu başlık altında sosyal mühendislik testleri kapsamında elde edilen istatistikler değerlendirilecektir. Sızma Testleri
kapsamında gerçekleştirilen sosyal mühendislik testleri, teknik bilgisi veya farkındalığı eksik kullanıcıların kurumlar için ne
kadar büyük bir risk oluşturabileceğini ortaya koymak adına çok faydalı olmaktadır.
Sosyal Mühendislik Testleri kapsamında 2020 yılı içerisinde toplam 21270 adet oltalama maili gönderilmiştir. Kurbanların
içerisinden 5443 (%25) kişinin oltalama linkine tıkladığı görülmüştür. Ayrıca 2386 (%11) kişi kullanıcı bilgilerini test esnasın-
da sunulan sahte girdi alanlarında paylaşmıştır.
Bu durum her dört kullanıcıdan birinin kurumlar için risk oluşturacak zararlı bağlantıları çalıştırmaya elverişli olduğunu
göstermektedir. Yine ayrıca ciddi oranda bir kullanıcının bilgilerini kolayca saldırganlara teslim edebileceğini göstermek-
tedir.
RAKAMLARIN DİLİ İLE 2020
Sosyal Mühendİslİk İstatİstİklerİ
bulgularIN KATEGORİ BAZLI OLARAK DEĞERLENDİRİLMESİ
Bu bölümde öne çıkan test kategorilerinde tespit edilen bulgular üzerinden değerlendirme yapılacaktır.
Grafik 5 : Sosyal Mühendislik İstatistikleri
100%
44%
26%
11%
0% 20% 40% 60% 80% 100%
Gönderilen Mail
Açılan Mail
Link Tıklanma
Veri Girişi
8. Bu başlık altında; web uygulamaları, API uygulamaları, web socket uygulamalarının çıktıları baz alınmıştır. Web uygulamaları
genel olarak dış dünyaya açık varlıklar olduğu için güvenliği de son derece önemlidir. BGA Security olarak 2020 yılı içerisinde
10’u aşkın kez web uygulamaları aracılığı ile sunucular ve sunucuların bulunduğu networklerde bulunan diğer sunucular ele
geçirilmiştir.
Aşağıda web, API ve socket uygulamalarına ait en sık karşılaşılan bulgular verilmiştir.
Bu bulgular içerisinde en yaygın olarak güvenli yapılandırılmayan form kullanımından kaynaklanan “Bir Fonksiyonun Limitsiz
Kullanımı” bulgusu yer almaktadır. Yine en yaygın zafiyetlerden biri olarak “Kaba Kuvvet Saldırılarına Açık Kimlik Doğrulama
Arayüzü” bulgusu yer almaktadır. Maalesef saldırganların uygulama yönetim panellerine erişmek için kullandığı bir yöntem
olan bu zafiyetin istismarı sıkça görülmektedir. Genel olarak incelendiğinde ise bulguların kaynağının güvenli yazılım
geliştirme kültürüne sahip olmamaktan kaynaklandığına tanık olunmaktadır.
RAKAMLARIN DİLİ İLE 2020
Web Uygulama ve API İstatİstİklerİ
Grafik 6 : En Çok Bulunan Web Bulguları
9,07%
8,52%
8,52%
6,86%
6,70%
6,70%
6,70%
6,23%
5,44%
4,57%
4,34%
4,26%
4,02%
3,47%
3,15%
3,00%
2,84%
2,84%
2,76%
0,00% 1,00% 2,00% 3,00% 4,00% 5,00% 6,00% 7,00% 8,00% 9,00% 10,00%
Bir Fonksiyonun Limitsiz Kullanılabilmesi
Eksik/Hatalı Yapılandırılmış HTTP Başlıkları
Zayıf SSL/TLS Yapılandırma Zafiye�(WSTG-CRYP-001)
Kaba Kuvvet Saldırılarına Açık Kimlik Doğrulama Arayüzü
Özelleş�rilmemiş Hata Sayfaları
Oturum Çerezi Güvenlik Eksiklikleri
Güncel Olmayan Web Uygulama Bileşenleri
İnterne�en Erişilebilen Hassas Bilgiler
Kullanıcı Hesaplarının Tespit Edilebilmesi
Altyapı ve Uygulama Yöne�m Panellerinin İfşası
HTTP Başlık Bilgisinde Hassas Veri İfşası
Güvensiz Doğrudan Nesne Erişimi
Kimlik Bilgilerinin Şifresiz Kanaldan Aktarılması
Clickjacking Zafiye�
Zayıf Parola Poli�kası Kullanımı
Captcha Güvenlik Önlemini Atlatma
Depolanan Siteler Arası Script Çalış�rma
Web Sunucuda Tehlikeli HTTP Metodu Kullanımı
Yansı�lan Siteler Arası Script Çalış�rma Zafiye�/XSS
9. Bu inceleme başlığı altında mobil uygulama zafiyetlerine yer verilmiştir. Aşağıda en yaygın olarak tespit edilen mobil uygu-
lama bulgularına ait grafik verilmiştir.
Maalesef mobil uygulamalar kurum varlık envanterine son eklenen üye olmasına rağmen kazanılan kurum güvenlik
tecrübesini yeteri kadar yansıtmamaktadır.
Web uygulama tarafında çok güvenli mekanizmalara sahip birçok uygulamanın mobil platform sürümünde ciddi veri
ihlallerine yol açacak zafiyetler tespit edilmektedir. Yukarıdaki grafikte ise sadece en yaygın tespit edilen bulgulara yer
verilmiştir. Bunların içinde ise “Jailbreak veya Root Tespitinin Olmaması” bulgusu en sık karşılaşılan bulgudur. Girdi dene-
timi eksikliğinden dolayı veri kaybına yol açabilen zafiyetlerle de sıkça karşılaşılmaktadır.
Yine android tarafında kaynak kodların korunmaya alınmamış olması ikinci en büyük bulgu olarak karşımıza çıkmaktadır.
RAKAMLARIN DİLİ İLE 2020
MOBİL UYGULAMA İSTATİSTİKLERİ
Grafik 7 : En Çok Bulunan Mobil Bulguları
15%
16%
36%
7%
4%
9%
5%
3%
4%
1%
0% 5% 10% 15% 20% 25% 30% 35% 40%
SSL Ser�fika Sabitleme Eksikliği
Obfuscate Edilmemiş Mobil Uygulama Dosyaları
Jailbreak/Root Tespi�nin Olmaması
Güvensiz Ac�vity Erişimi
Akıllı Cihazlarda Hassas Verilerin Açık Bir Şekilde Tutulması
Mobil Cihaz Loglarından Erişilebilen Hassas Veriler
Girdi Dene�mi Eksikliği
Hassas Verilerin Maskelenmeden Kayıt Al�na Alınması
GüvensizOtoma�k“Beni Ha�rla”Özelliği
Şifrelemede Sabit Anahtar Kullanılması
10. Her ne kadar yerel ağ sistemleri dış dünyadan erişim kısıtından dolayı daha güvenli olarak algılansa da kurum odaklı oltala-
ma saldırıları göz önünde bulundurularak bu sistemlerin güvenliği de katı bir şekilde gerçekleştirilmelidir. Ayrıca sadece
kurum dışından bir saldırgan tarafından hedef alınma senaryosunun dışında kurumun, kurum çalışanları tarafından da
hedef alınabileceği unutulmamalıdır.
Bu kategoride en yaygın görülen bulgunun “Üçüncü Parti Yazılımların Güncelleme Eksikliği” bulgusu olduğu görülmekte-
dir. Yama yönetimi maalesef halen en büyük problemlerden biridir. Yine son kullanıcı ve sunucu sistemlerinde
yapılandırılan güvenlik yazılımlarının yapılandırma eksikliğinden dolayı atlatılabilir durumda olması önemli bulgulardan
biri olarak kaydedilmektedir.
Yerel Ağ İstatİstİklerİ
RAKAMLARIN DİLİ İLE 2020
Bu başlık altında yerel ağ (sunucu, istemci, aktif dizin) istatistiklerine yer verilmiştir. Aşağıda bu bağlamda en yaygın tespit
edilen bulgulara ait grafik verilmiştir.
Grafik 8 : En Çok Bulunan Yerel Ağ Bulguları
7,2%
6,6%
6,5%
6%
5,9%
5,6%
5,5%
5,3%
5,1%
5,1%
3,8%
3,8%
3,7%
3,6%
3,6%
3,5%
3,3%
4,5%
2,3%
2,2%
2%
1,6%
1,5%
1,5%
0,00% 1,00% 2,00% 3,00% 4,00% 5,00% 6,00% 7,00% 8,00%
Üçüncü Par� Yazılımların Güncelleme Eksikliği
Öntanımlı SNMP Bilgileri Kullanımı
İstemci Sistemler Üzerinde Tespit Edilen Güvenlik Zafiyetleri
İnternet Erişim Güvenlik Kontrollerinin Aşılması
Yetkisiz Erişilen Microso� Windows SMB Paylaşımları
NetBIOS ve LLMNR Zehirlenmesi
Microso� Windows İşle�m Sistemi Güncelleme Eksiklikleri
Microso� IIS Tilde Ad Çözümleme Zafiye�
Desteği Olmayan Windows İşle�m Sistemi Kullanımı
ESXi/ESX Kri�k Güvenlik Güncelleş�rme Eksikliği
İnterne�en Erişilebilen Kri�k Portlar/Servisler
Anonim FTP Hesabı Kullanımı
Telnet Kullanımı
IPMI v2.0 Parola Öze� İfşası
ARP Önbellek Zehirlemesi (MITM Saldırısı)
DHCP Starva�on Zafiye�
Ac�ve Directory Zayıf Parola Poli�kası
SMB Paket İmzalamasının Pasif Olması
Aynı Kullanıcı Hesabının Farklı Sistemlerde Kullanımı
Host Tabanlı Güvenlik Kontrollerinin Atla�lması
Basit Parolaya Sahip Ac�ve Directory Kullanıcı Hesapları
Oracle TNS Listener Uzaktan Zehirleme Zafiye�
Hassas Bilgilerin Şifresiz Dosyalarda Tutulması
Parola Korumasız Redis Server
Grafik 8 : En Çok Bulunan Yerel Ağ Bulguları
11. KABLOSUZ AĞ İstatİstİklerİ
Bu başlık altında kablosuz ağ bulgularının analizine yer verilmiştir. Aşağıda en sık tespit edilen kablosuz ağ bulgu-
larını içeren bir grafik verilmiştir.
Kurum güvenliğinde kablosuz ağlar da yine çok önemli bir yere sahiptir. Çünkü hatalı yapılandırılan bir kablosuz
ağ kurum dışında bulunan saldırganların kablosuz ağdan yerel ağa ve sonrasında sistemlere sızmasına sebep
olabilir. BGA Security tarafından 2020 yılı içerisinde yapılan testlerde, kablosuz ağlar üzerinden kurum sistemleri-
nin ele geçirilmesi ile sonuçlanan senaryolar gerçekleştirilmiştir.
Bu kategoride en yaygın karşılaşılan bulgunun “Güvensiz Kablosuz Ağ Protokolü Kullanımı” olduğu görülmektedir.
Kablosuz ağların yapılandırılmasında protokol ve şifreleme yöntemleri saldırının başarısını da doğrudan etkileye-
bilmektedir. Bu durum sebebiyle ağ yapılandırma öncesinde güvenlik açısından da analizlerin gerçekleştirilmesi
önerilmektedir.
Yine saldırganların istemcileri ağdan düşürme girişimlerinin başarılı olduğu saldırı yöntemi de yaygın olarak
görülmektedir.
RAKAMLARIN DİLİ İLE 2020
Grafik 9 : En Çok Bulunan Kablosuz Ağ Bulguları
42,0%
28,2%
1,5%
17,8%
10,5%
0,0% 10,0% 20,0% 30,0% 40,0% 50,0%
Güvensiz KablosuzAğ Protokolü Kullanımı
Kablosuz Ağ Servis Dışı Bırakma Saldırıları
Basit Parolaya Sahip Kablosuz Ağ Kullanımı
Kullanıcı İzolasyonu Sağlanmamış Kablosuz Ağ
Kullanımı
MAC Filtreleme Kullanılmayan Kablosuz AğKullanımı
12. Genel Değerlendİrme ve Önerİler
RAKAMLARIN DİLİ İLE 2020
Dünyada olduğu gibi ülkemizde de siber güvenlik alanında ihtiyaçlar ve yatırımlar son hızda devam etmekte-
dir. Her geçen gün, sistemlerin daha güvenli bir şekilde yönetilmesi için yönergeler yayınlanmakta, yeni
ürünler piyasaya sürülmektedir. Şüphesiz operasyonel olarak gerçekleştirilen mevcut işlerin daha detaylı
bir şekilde yürütülmesi anlamına gelen bu durum eleman ve kaynak ihtiyacını arttırmaktadır. BGA Security
olarak birçok kurumu gözlemleme fırsatına sahip olarak önerilerimizi aşağıdaki gibi sıralayabiliriz.
Eleman Sayısı
Bu konu maalesef güvensiz sistemlerin ana sebebi olarak karşımıza çıkmaktadır. Şirketin mevcut fiziksel
yapısındaki personel/yönetici oranını göz önünde bulundurarak şirketin siber yapısındaki cihaz/BT personeli
oranının gözden geçirilmesi gerekmektedir. Her cihazın güvenli bir şekilde yapılandırılması için binlerce
sayfayı bulan yönetici rehberlerinin bulunduğunu ve sınırlı iş gücü ile tüm bu detaylara sahip olunamaya-
cağının farkına varılmalıdır.
Güncelin Takip Edilmesi
Siber güvenlik dünyasında gelişen olayların gerisinde kalmamak personelin bireysel çabası ve azmi ile sınır-
landırılmamalı, aksine kurum içerisinde kişilerin kendilerini bu konuda geliştirmeleri için mesai saatleri
içinde tamamlanması gereken bir görev olarak atanmalıdır.
Bu kapsamda örnek bir çalışma olarak BGA Security sızma testi ekibi her hafta periyodik olarak siber
gündem toplantısı gerçekleştirmektedir. Ekip üyeleri bu toplantıya hazırlanarak siber ihlaller, yeni araçlar ve
yöntemler konusunda araştırmalarını arkadaşlarına sunmaktadır.
Hücresel Bir Sistem Yapı Kullanımı
Her sistemin hacklenebileceği unutulmamalıdır. Fakat saldırganın ilk giriş yaptığı sistemden veya networkten başkalarına
sızmasını engelleyecek şekilde bir mimariye sahip olmak çok önemlidir. Bunun için kurum ağı VLAN’lara bölünmesiyle
güvenlik duvarlarında sonlandırılarak ağlar arası geçişler katı bir şekilde kontrol edilmelidir. Aynı hücresel yapı sistemlerin
yönetici kullanıcı hesapları için de kullanılmalıdır. Böylece ele geçirilen bir sistem hesabı başka sistemlerde kullanılamaya-
caktır.
Güvenlik Eğitimleri
Yama Yönetimi
Başarılı bir yama yönetimi olası saldırıların etkilerini çok büyük ölçüde engelleyecektir.
Sosyal mühendislik testleri kurumların farkındalık eksikliği nedeniye çok ciddi problemler yaşayabileceklerini göstermektedir.
Bu kapsamda öncelikle kurumlardaki tüm personellere temel seviyede bilgi güvenliği farkındalığı kazandırılmalıdır.
Buna ek olarak; sistem yöneticilerinin, yazılım geliştiricilerinin, güvenlik cihazı yöneticilerinin güvenlik eğitimleri ile güçlendir-
ilmesi son derece önemlidir. Eğitimler temel bir eğitim olan CEH (Etik Hacker Eğitimi) sonrası iş alanı bünyesinde özel eğitimler
olarak alınmalıdır. Özellikle yazılım geliştiricilerin güvenli yazılım geliştirme eğitimi alması, olası veri ihlallerinin önüne geçmek
kadar sonradan uygulamada köklü değişikliğe sebep olabilecek maaliyetlerden kaçınma adına da çok önemlidir.