KURUMSAL BİLGİ GÜVENLİĞİNDE GÜVENLİK TESTLERİ VE ÖNERİLER

Kurumsal bilgilerin güvenliğinin sağlanmasında, kullanılan bilgi sistemlerinin zafiyetlerin erken teşhisi ve kısa sürede giderilmesi önemlidir. Saldırı gelmeden önce güvenlik zafiyetleri tespit edilerek giderilmesini sağlayan güvenlik testleri kurumsal bilgi güvenliğinin sağlanması açısından büyük önem taşımaktadır. Yüksek seviyede kurumsal bilgi güvenliğinin sağlanması için güvenlik testlerinin tanımı ve hangi amaçla kullanıldığının kurumlar tarafından bilinmesi ve uygulanması gereklidir. Güvenlik testleri, kurumların ihtiyaçları doğrultusunda, belirli bir yöntem ve disiplin çerçevesinde etik kurallara saygılı güvenlik uzmanları tarafından yapılması gerekmektedir. Literatür incelendiğine, kurumsal bilgi güvenliği konusunda kapsamlı ve güncel bilgilerin bulunmadığı, çalışmaların tüm kavramları kapsamadığı, pek çok bilginin ise güvensiz ve ticari web sitelerinden sunulduğu, olanların ise kısa tanımlamaları ve açıklamaları sunduğu belirlenmiştir. Bu çalışmada, kurumsal bilgi güvenliğinin sağlanmasında önemli bir role sahip olan güvenlik testleri ile standartlar ve kılavuzları geliştiren kurumlar kapsamlı olarak sunulmuştur. Sonuç olarak, bu çalışmanın güvenlik farkındalığını arttıracağı, yeni çözüm önerilerinin geliştirilmesi ve uygulanmasını kolaylaştıracağı, sunulan önerilerin hayata geçirilmesiyle de yüksek seviyede kurumsal bilgi güvenliğinin sağlanmasına katkılar sağlaması beklenmektedir.

Anahtar Kelimeler:

Bilgi güvenliği, kurumsal bilgi güvenliği, bilişim güvenliği, güvenlik testleri, sosyal mühendislik, güvenlik tes standartları.

PDF

___

Federal Office for Information Security “A Penetration Testing Model” BSI, Bonn, 6-9, 93, 2002.
Cole, E., Krutz, R., Conley, J. W., “Security Assessments, Testing, and Evaluation”, Network Security Bible, Wiley Publishing Inc., Indianapolis, 607-612, 2005.
Geer, D., Harthorne, J., “Penetration testing: a duet” IEEE 18th Annual Computer Security Applications Conference, Las Vegas, 185, 2002.
Budiarto, R., Ramadass, S., Samsudin, A., Noor, S., “Development of Penetration Testing Model for Increasing Network Security”, IEEE International Conference on Information & Communication Technologies: From Theory to Applications, Damascus, 563, 2004.
Nilsson, J., “Vulnerability Scanners” Yüksek Lisans Tezi, Department of Computer and Systems Sciences Royal Institute of Technology, Stockholm, 28-30, 2006.
Braden J., “Penetration Testing – Is it right for you?” SANS Institute, Maryland, 1, 2002.
İnternet: Corsaire Limited “What is a Penetration Test?” http://www.penetration-testing.com (21.03.2007).
İnternet: Wikipedia “Penetration Test” http://en.wikipedia.org/wiki/Penetration_testing (21.03.2007).
Lammle, T., “CEH Certified Ethical Hacker Review Guide”, Sybex Inc., Alameda, 8, 2005.
Harris, S., Harper, A., Eagle, C., Ness, J., Lester, M., “Gray Hat Hacking: The Ethical Hacker's Handbook”, McGraw-Hill Osborne Media, New York, 73, 2004.
Manzuik, S., Gold, A., Gatford, C., “Network Security Assessment from Vulnerability to Patch” Syngress Publishing Inc., Rockland, 104, 2007.
Dautlich, M., “Penetration Testing — the Legal Implications” Computer Law & Security Report, 20(1):41, 2004.
Cohen, F., “Managing Network Security — Part 9: Penetration Testing?”, Network Security, 1997(8):13, 1997.
Schultz, E., “Hackers and Penetration Testing”, Network Security, 1997(10):10, 1997.
Midian, P., “Perspectives on Penetration Testing”, Computer Fraud & Security, 2002(6):15, 2002.
Weissman, C., “Security Penetration Testing Guideline”, Handbook for the Computer Security Certification of Trusted Systems, Center for Secure Information Technology Naval Research Laboratory,Washington, 2, 1995.
Dahl, M. O., “Using Coloured Petri Nets in Penetration Testing”, Yüksek Lisans Tezi, Department of Computer Science and Media Technology Gjøvik University, Gjøvik, 18, 2005.
Abrams, D. M., “FAA System Security Testing and Evaluation-Technical Report”, MTR 02W0000059, Virginia, 3-7, 2003.
Schneier, B., “The Process of Security”, http://infosecuritymag.techtarget.com/articles/april00/columns_cryptorhythms.shtm (21.03.2007).
İnternet: Wilson, M., “Demonstrating ROI for Penetration Testing (Part One)” http://www.securityfocus.com/infocus/1715 (22.03.2007).
Landwehr, C. E., Bull, A. R., Mcdermott, J. P., Choi, W. S., “A Taxonomy of Computer Program Security Flaws” ACM Computing Surveys, 26(3), 214-215, 1994.
Splaine, S., “Testing Web Security-Assessing the Security of Web Sites and Applications”, Wiley Publishing Inc., Indianapolis, 3-4 (2002.
Heald, A., E., “Understanding Security Testing” Infosec Writers, 8, 2005.
Symantec Corp., “Symantec Internet Security Threat Report Trends for July–December 06” Symantec Volume XI, Cupertino, 24-64, 2007.
Gordon, L. A., Loeb, M. P., Lucyshyn, W., Richardson, R., “CSI/FBI, Computer Crime and Security Survey”, FBI Computer Security Institute, 1- 26, 2005.
Koç.net Haberleşme Teknolojileri ve İletişim Hizmetleri A.Ş., “Türkiye İnternet Güvenliği
Araştırma Sonuçları 2005”, koc.net, İstanbul, 5- 12, 2005.
Üneri, M., “BT Güvenliği Güncel Durum ve Eğilimler”, TÜBİTAK-UEKAE Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü, Ankara 27- 35, 2006.
Eriş, M., “Türkiye Kamu Kurumları BT Güvenlik Analiz Sonuçları ve Çözüm Önerileri”, TÜBİTAK–UEKAE Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü, Ankara, 7-9, 2006.
Eriş, M., “Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü Anket Sonuçları”, TÜBİTAK–UEKAE Kamu Kurumları Bilgi Teknolojileri Güvenlik Günü, Ankara, 10-32, 2006.
The Australian High Tech Crime Centre, “Australian Computer Crime & Security Survey”, AusCERT, Canberra, 12, 2006.
National ICT Security & Emergency Response Centre, “Malaysia ISMS Survey”, NISER-ISMS Survey, Kuala Lumpur, 4, 35-40, 2003.
Mitnick, K. D., Simon, W. L., “Aldatma Sanatı”, Nejat Eralp Tezcan, ODTÜ Yayıncılık, Ankara, 303, 2006.
İnternet: Wikipedia “Brute Force Attack” http://en.wikipedia.org/wiki/Brute_force_attack (22.03.2007).
İnternet: Columbia University Computer Science Department “A Distributed Denial of Service Attack” http://nsl.cs.columbia.edu/projects/sos/ (22.03.2007).
Northcutt, S., Zeltser, L., Winters, S., Kent, K., Ritchey, W. R., “Inside Network Perimeter Security”, Sams Publishing, Indiana, 540-550, 2005.
Layton, P. T., “Penetration Studies – A Technical Overview”, SANS Institute, Maryland, 3-7, 2002.
National Infrastructure Security Co-ordination Centre, “Commercially Available Penetration Testing”, NISCC-Best Practice Guide, London, 24, 2006.
Long, J., “Google Hacking for Penetration Testers”, Syngress Publishing Inc., Rockland, 135- 137, 2005.
Potter, B., McGraw, G., “Software Security Testing” IEEE Security & Privacy Magazine,2(5): 81, 2004.
Search Security Definitions, “Vulnerability analysis”, http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1176511,00.html (22.03.2007).
Knight, E., “Computer Vulnerabilities”, Artech House, Boston, 7-9, 2000.
Foster, J., C., Liu, V., “Writing Exploits and Security Tools”, Syngress Publishing Inc., Rockland, 16, 2006.
İnternet: SearchSecurity Definitions, “Zero-day Exploit”, http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci955554,00.html (23.03.2007).
Singh, P., Mookhey, K.K., “Metasploit Framework, Part 1” http://www.securityfocus.com/infocus/1789 (23.03.2007).
Özavcı, F., “Metasploit Framework ile Güvenlik Denetimi”, Linux Şenliği ODTÜ, 4-5, 2006.
Tiller, J. S., “A Framework for Business Value Penetration Testing”, Auerbach Publications, New York, 288- 291, 2005.
İnternet: ISECOM “The Open Source Security Testing Methodology Manual”, http://www.isecom.org/osstmm (23.01.2007).
Herzog, P., “OSSTMM 2.2. Open-Source Security Testing Methodology Manual”,
ISECOM OSSTMM 2.2, Barcelona, 44, 47, 49, 68, 71, 83, 99-101 2006.
Wack, J., Tracy, M., Souppaya, M., “Guideline on Network Security Testing” NIST Special Publication 800-42, Washington, 1 2003.
İnternet: Wikipedia “OWASP” http://en.wikipedia.org/wiki/OWASP (23.03.2007).
www.techzoom.net/risk (23.03.2007).
Vural, Y., “Kurumsal Bilgi Güvenliği ve Sızma Testleri” Yüksek Lisans Tezi, Gazi Üniversitesi, Fen Bilimleri Enstitüsü, 2007.