Sızma Testi nasıl yapılır?
Ödeme sistemleri güvenlik açısından nasıl test edilir?
Pandemi içinde çevrimiçi ödemelerin artması, dolandırıcıları bu alana daha da çekmiş durumdadır. 2020’nin ilk çeyreğinde Kaspersky Lab tarafından 42.115 mobil bankacılık virüsü tespit edildi. Bu, son bir buçuk yılın en yüksek değeri, 2019’un dördüncü çeyreğinden 2,5 kat daha yüksektir. Finansal kuruluşlar bu koşullar altında sistemlerinin bilgi güvenliğini nasıl test edebilirler?
Sızma testleri ve güvenlik açığı taramaları
Otomatik güvenlik açığı taramaları ve bilgisayar korsanlığı kontrolleri gibi bazı yöntemler zaten klasik olarak kabul edilebilir. Kartlarla çalışan ödeme sistemleri için güvenlik açığı taraması, BT altyapısında önemli değişikliklerden sonra en az üç ayda bir veya her seferinde yapılmalıdır. Ayrıca, yılda bir kez veya altyapıdaki önemli değişikliklerden sonra, bu kuruluşların sızma testlerini (pentest), Özel olarak işe alınan veya kurum içi bilgisayar korsanları tarafından saldırıya uğradıklarında geçmeleri gerekir . .. Bunu yapmak için piyasada otomatik bir takım programlar vardır ve bilgisayar korsanlarının bunları doğru bir şekilde kullanabilmeleri için belirli niteliklere sahip olmaları yeterlidir.
Penetrasyon testinin sonuçlarına dayanarak, etik bilgisayar korsanları (yada sızma testi uzmanları) ya BT altyapınızın güvenli olduğu ve yakın gelecekte kartlarla güvenle çalışmaya devam edebileceğiniz sonucuna varıyor ya da tam tersine güvenlik açıkları bulduklarını ve bunları kapatmayı teklif ediyorlar. Düzeltmeler yapıldıktan sonra ikinci bir sızma testi ve ardından gerekirse güvenlik açıkları tamamen kapatılana kadar bir tane daha yapılır.
Denetim
Diğer bir kontrol unsuru ise, pasif-aktif güvenlik olarak adlandırılır. Kuruluş , tüm BT ortamını, tüm altyapısını ustaca değerlendiren denetçilerden harici hizmetler alır veya sipariş eder. İdeal olarak, bu tür bir denetim düzenli olarak (en az yılda bir kez) gerçekleştirilmelidir, ancak bu aynı zamanda maliyetli bir şeydir.
Sorumlu geliştirme
Bu üçüncü kontrol ve güvenlik konusudur. Kendi başlarına yazılım yazan kuruluşlarla ilgilidir. Kendi finansal ve diğer BT sistemlerini oluşturma ve gelecekteki pentestleri beklemeden yazılımın doğrudan geliştirme sürecinde olası güvenlik açıkları için izlenmesi gerçeğinde yatmaktadır.
Kodu bu şekilde taramak için özel yardımcı programları da kullanabilirsiniz . Örneğin, geliştiricinin açık bir yazılım kitaplığı kullandığını ve 2016’da içinde bir güvenlik açığı bulunduğunu vurgulayabilecekler, bu nedenle güvenlik amacıyla bu kitaplığın 2017’den daha eski olmayan bir sürümünü kullanmanız gerekiyor. Ayrıca, bu zincire, ürününüzün her yeni yapısını tarayan otomatik güvenlik açığı tarayıcıları yerleştirilmiştir.
Bunların hepsi de önemli giderlerdir. Böyle bir kontrol ardışık düzeni, kullandığınız kitaplıklardaki yeni güvenlik açıklarını düzenli olarak kontrol ederek oluşturulmalı, otomatikleştirilmeli ve sürdürülmelidir.
Yakın gelecekte, güven talep eden şirketler (özellikle finansal olanlar) ile ilgili olarak şu soru sorulacak: Siber çöplüklere eklenmeden kurtulmak için kendi BT altyapınızı korumaya nasıl hazırlanmalısınız?