MAY Siber Teknoloji
MAY Siber Teknoloji
Ağ ve Sistem Güvenliğiniz için alışılmışın dışında MAY Siber Teknoloji çözümleri ile rahat bir nefes alın. Milli, Güvenilir ve Üstün Teknolojiye sahip ürünleriyle "Yerli Malı" belgeli MAY Siber Teknoloji ülkemiz için katma değer oluşturmaya ve “Yerli Üretim” hareketine katkıda bulunmaya devam ediyor.
YAZILIM KALİTESİ
CMMI Level 3 sertifikasına sahip MAY Siber Teknoloji, uluslararası kalitede ve genel kabul görmüş metodolojilerle yazılım üretmektedir.
ÜRÜN GÜVENİLİRLİĞİ
MAY Siber Teknoloji ürünleri için ayrı ayrı Common Criteria EAL sertifikalarını alarak, uluslararası güvenilir ürün tescillerine sahiptir.
BENZERSİZ TEKNİK DESTEK
Hiçbir üreticide istihdam edilmeyen sayı ve kalitede, konusunda uzman profesyonel servis ekibi koşulsuz müşteri memnuniyeti hedeflemektedir.
DANIŞMANLIK HİZMETLERİ
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ (BGYS)
Çoğunlukla bilinenin aksine Bilgi Güvenliği Yönetim Sistemi (BGYS) yalnızca bilişim altyapısında saklanan bilgilerin korunmasına yönelik bir standart değil her ortamdaki bilginin korunmasına yönelik bir standarttır. Her organizasyon kendisine özgü bilgilere ve bu bilgilere yönelik tehditlere sahiptir. BGYS bizlere, bilgiye yönelik bu tehditleri yönetmek ve risklerden etkilenmemek ya da en az şekilde etkilenmek için sistematik bir yol haritası oluşturmaktadır.
MAY Siber Teknoloji olarak sizlere sunduğumuz BGYS Danışmanlık Hizmeti, ISO 27000 ailesi ve varsa organizasyona özgü kılavuzlar dikkate alınarak gerçekleştirilir. Uzman kadromuz ve sizlerle birlikte yürüteceğimiz ortak çalışmalarımız sonucunda size özgü bir BGYS kurulmuş, sistemin izlenmesi ve iyileştirilmesi için gerekli yol haritası oluşturulmuş ve belgelendirme denetimine hazır hale getirilmiş olacaktır.
ISO20000 BT HİZMET YÖNETİMİ
Her organizasyonun müşteri yapısı (BT hizmeti sunduğumuz iç ve dış müşteriler) ve temel olarak çok fazla olmasa da, detayda hizmet sunum şekilleri birbirinden farklılık göstermektedir. Bilgi Teknolojileri Hizmet Yönetim Sistemi (BTHYS) bizlere, organizasyonumuzdaki bilgi teknolojileri süreçlerini analiz etmede ve en iyi uygulamaları gerçekleştirmemizde kılavuzluk eden uluslararası bir standarttır. Bu standart, ITIL (Information Technologies Infrastructure Library) süreçleri ile örtüşmekte ve birbirilerini tamamlayıcı özelliktedir.
MAY Siber Teknoloji olarak sizlere sunduğumuz BTHYS Danışmanlık Hizmeti, ISO 20000 standardını ve ITIL kaynaklarını referans alarak uzman kadromuz tarafından gerçekleştirilir. Sizlerle birlikte yürüteceğimiz analiz çalışmaları sonucunda organizasyondaki BT hizmetlerinin mevcut durumu fotoğraflanır ve sonrasında organizasyona en faydalı olacak şekilde yeni süreçler tasarlanır. Süreçlerin uygulanması, izlenmesi ve sürekli iyileştirilmesi için gerekli yol haritaları oluşturularak, organizasyonunuz denetime hazır hale getirilir
ISO22301 İŞ SÜREKLİLİĞİ
Her organizasyonda devamlılığı önemli olan ve aksaması halinde organizasyonun çalışmalarını etkileyecek kritik süreçler bulunmaktadır. İSYS’de tıpkı BGYS gibi bilinenin aksine yalnızca BT süreçlerini ilgilendiren bir standart değildir. Bu bağlamda İSYS, organizasyondaki kritik süreçlerin belirlenmesi, bu süreçlerin devamlılığı için gerekli çalışmaların yapılması, devamlılığın sağlanamadığı durumlardaki acil durum eylem planlarının oluşturulması, kabul edilebilir kesinti sürelerinin belirlenmesi vb. konularda bize kılavuzluk etmektedir.
MAY Siber Teknoloji olarak sizlere sunduğumuz İSYS Danışmanlık Hizmeti, ISO 22301 ve ISO 22313 standartlarını referans alarak gerçekleştirilmektedir. Uzman kadromuz ve sizlerle birlikte organizasyonunuz analiz edilmekte ve kritik süreçleriniz tespit edilmektedir. Sonrasında ise standartlara uygun şekilde çalışmalarımız gerçekleştirilmekte ve organizasyonunuz denetime hazır hale getirilmektedir. Diğer yönetim sistemlerinde olduğu gibi işin sürekliliği esas olduğundan sistemin izlenmesi ve sürekli olarak iyileştirilmesi için yol haritaları oluşturulmakta ve gerekli eğitimler sizlere verilmektedir.
FARK ANALİZİ
Fark analizi, bir uyumluluğu (standart, mevzuat, kanun vb.) sağlamak için organizasyonda eksik olan noktaları belirlemek amacıyla gerçekleştirilen çalışmadır. Bu çalışma gerçekleştirilirken ilgili uyumluluk (ISO 27001, ISO20000, ISO 22301, KVKK, ISO 9001 vb.) referans alınır. Fark analizi çalışması bir uyumluluk için çalışmaya başlayacak organizasyonlarda gerçekleştirilerek eksik olan alanların tespit edilmesine ve buna bağlı olarak doğru noktaya odaklanarak kaynakların doğru ve verimli kullanılmasını sağlamaktadır.
MAY Siber Teknoloji olarak sizlere sunduğumuz Fark Analizi Hizmeti, uyumluluk için gerekli olan referans doküman, kılavuz edinilerek hazırlanmış kontrol listemiz ile gerçekleştirilmektedir. Sunulan hizmetin sonunda organizasyonunuzdaki eksik noktaları ve iyi uygulamalarınızı sizlere sunacak “Fark Analizi Raporu” teslim edilmektedir.
KİŞİSEL VERİLERİN KORUNMASI KANUNU UYUMLULUĞU (KVKK)
7 Nisan 2016 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 29677 sayılı Resmî Gazete ’de yayımlanarak yürürlüğe girmesi ile birlikte kurum ve kuruluşlar tarafından kişisel verilerin korunması ile ilgili yasal zorunluluk ortaya çıkmıştır. Bu süreçte kişisel veri ve özel nitelikli kişisel verinin ayrıştırılması bu verilerin işleme şartlarının belirlenmesi, kişisel veri işlenmesi için yasal dayanağın belirlenmesi veya açık rızaların alınması, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, her türlü teknik ve idari tedbirlerin alınması, kişisel verilerin yurt içine veya yurt dışına aktarılması, veri işleyen ve sorumlusu rollerinin belirlenmesi, kişisel verilerin işlenmesinde aydınlatma yükümlülüklerinin yerine getirilmesi, veri sorumlusuna başvuru usul ve esaslarının belirlenmesi, kişisel veri envanterinin KVKK’ya bildirilmesi için veri sorumluları sicilinin oluşturulması gerekir.
MAY Siber Teknoloji olarak sizlere sunduğumuz KVKK Uyum Danışmanlığı yasal şartlar ve kuruluşunuzun süreçleri göz önünde bulundurularak verilmektedir. Sunulan hizmetin sonunda organizasyonunuzda KVKK’ya uyumun sağlanması ve VERBİS sistemine girilecek kişisel veri envanteri teslim edilmiş olacaktır.
SOME
Günümüzde ülkeler ve hatta bazı oluşumlar arasında siber savaşlar yaşanmaktadır. Siber savaşlar için harcanan kaynaklar ile sıcak savaşlar için harcanan kaynaklar arasında ciddi farkların olması da insanları bu alana yönlendirmektedir. Ülkelerin ve kuruluşların kritik süreçlerinin veya altyapılarının çoğunun bilişim altyapısı ile yönetildiği düşünüldüğünde de siber olaylara karşı önleyici tedbirler almak kaçınılmaz bir durum haline gelmiştir. Buna bağlı olarak, Siber Güvenlik Kurulu tarafından kabul edilen “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nda kamu kurum ve kuruluşları bünyesinde Siber Olaylara Müdahale Ekipleri (Kurumsal Some - Sektörel Some) oluşturulması öngörülmüştür ve gerekli çalışmalara hızla başlanılmıştır.
MAY Siber Teknoloji olarak sizlere sunduğumuz SOME Hizmeti; SOME Kurulum Rehberini, Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliği, Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi, Yönetilmesi ve Koordinasyonuna İlişkin Kararı ve Tebliği ve güncel olarak yayınlanan ilgili mevzuatı referans alarak sunulmaktadır. Kadromuzun daha önceki tecrübeleri ve uluslararası mecradaki en iyi uygulamaları dikkate alınarak sizin organizasyonunuza en uygun yapı oluşturulmaya çalışılmaktadır. Güvenliğin sağlanması tıpkı bir maraton gibidir. Bu nedenle sürekliliğinin sağlanması, yeni tehditlere karşı tedbirli olunması, altyapının sürekli olarak iyileştirilmesi ve birçok alanda kendi kendine yeten bir organizasyonunuzun olması için gerekli eğitimler planlanmakta veya gerçekleştirilmektedir.
İÇ DENETİM HİZMETİ
Bir organizasyonda hali hazırda uygulanmakta olan bir yönetim sisteminin veya herhangi bir uyumluluğun gereklerinin sağlanıp sağlanmadığının ve uyumluluk için organizasyon içerisinde tanımlanmış olan süreçlerin işletilip işletilmediğinin denetiminin yapıldığı hizmettir. Bu hizmetteki temel amaç eksikleri bulmak değil uyumluluğu denetlemek ve dış denetimlere organizasyonu hazır hale getirmektir. Sunmuş olduğumuz iç denetim hizmeti, sonrasında iyi uygulamaları, iyileştirmeye açık alanları ve eksiklikleri içeren bir “İç Denetim Raporu” organizasyonu sunulmakta ve hizmetin devamlılığı istenirse eksiklerin giderilmesi noktasında da danışmanlık hizmeti sunulmaktadır.
ZAFİYET ANALİZİ VE SIZMA TESTİ
Zafiyet Analizi nedir?
Zafiyet Analizi (Vulnerability Analysis) veya Zafiyet Değerlendirmesi (Vulnerability Assessment), yapı üzerindeki zafiyetlerin derinlemesine analiz çalışması yapılarak tanımlanması, belirlenmesi, ölçülmesi ve önem sırasına göre düzenlenmesidir. Amaç, süreçlerin akışına zarar verebilecek zafiyetlerin saldırganlardan önce tespit edilip giderilmesi veya kabul edilebilir seviyeye indirgenmesidir.
Sızma Testi nedir?
Sızma Testi, yapıya içeriden (internal) ya da dışarıdan (external, web application) gelebilecek saldırılar ve sonucunda ne tür verilere ve/veya sistemlere erişilebileceği konusunda fikir edinilmesini sağlar. Sonuç olarak sistemin ve verilerin ne kadar güvende olduğu sorusu spesifik bir sorudur.
Sızma Testi yöntemleri nelerdir?
Blackbox: Güvenlik araştırmacısına testin gerçekleştirileceği yapı ve/veya sistemle ilgili önceden herhangi bir bilgi verilmez.
Whitebox & Crystalbox: Güvenlik araştırmacısına firma/kurum içindeki tüm yapı ve/veya sistem hakkında bilgi verilir.
Graybox: ‘Whitebox & Crystalbox’ ile ‘Blackbox’ arasında olan bir Sızma Testi yöntemidir. ‘Güvenlik araştırmacısına yapı ve/veya sistemler hakkında ‘detaylı’ bilgi verilmez.
‘Whitebox & Crystalbox’ ve ‘Graybox’ yöntemleri ile firmada/kurumda çalışan/çalışmış (standart kullanıcı veya yetkili kullanıcı) ve firma/kurum ağına erişim (fiziksel veya mantıksal) sağlamış bir saldırganın saldırı yapma olasılığı sonucunda ortaya çıkabilecek sonuçların test edilmesi amaçlanır. Bu noktada, eksik veya yanlış olan bir düşünce bulunmaktadır. ‘Blackbox’ yöntemi, “saldırgan gözüyle sistemlere ‘sızılmaya’ çalışılması” olarak düşünülmektedir fakat bir saldırganın elinde hedef yapı ile ilgili yeterince bilgi olacaktır. Bu nedenle, ‘Whitebox & Crystalbox’ ve ‘Graybox’ daha etkili, daha verimli ve sonuç odaklı yöntemlerdir.
MAY Siber Teknoloji, bu testleri gerçekleştirirken uluslararası standartları göz önünde bulundurarak yukarıdaki adımları takip eder ve ‘standart’ Sızma Testlerinden farklı olarak ‘özelleştirilmiş’ bir yapı kullanılır. Bu ‘özelleştirilmiş’ yapı aşağıda belirtilen parametreleri içermektedir.
MAY Siber Teknoloji, ‘Bilgi Toplama’, ‘Tarama ve Sınıflandırma’, ‘Erişim Elde Etme’, ‘Erişimi Yönetme’ ve ‘İz Gizleme’ adımlarında uluslararası kabul görmüş araçların (Commercial & Open-Source) yanı sıra MAY Siber Teknoloji bünyesinde görev alan güvenlik araştırmacıları tarafından kodlanan araçlar (MAYpen Analysis & Scanning Tools) ve ‘exploit’ler (MAYpen Exploit Research & Development, DB) kullanır (yazılan ‘exploit’ler Güvenlik Araştırmacıları tarafından Sızma Testi öncesinde ve/veya sırasında kodlanabilir. Yazılan her ‘exploit’, öncelikle ‘MAYpen Pentest Lab’ üzerinde denenmektedir.)
MAY Siber Teknoloji, Sızma Testi sonucunda ayrıntılı bir rapor hazırlar. Bu rapor, ‘Teknik Rapor’, ‘Yönetici Raporu’ ve ‘Bulgu Detayı’ gibi ayrı parametreler içerir. ‘Bulunan zafiyetin ayrıntılı açıklaması’, ‘zafiyetin bulgusu (ekran görüntüsü ve/veya çıktı)’ ve ‘zafiyetin çözümü’ başlıklarına ‘tamamen’ özelleştirilmiş cevaplar verilir. Zafiyet önce tespit edildiği hedef sistemin benzerinin oluşturulduğu ‘MAYpen Pentest Lab’ ortamında kapatılır (sıkılaştırma çalışmaları), ardından ‘zafiyetin çözümü’ yönergelerle birlikte ayrıntılı bir şekilde yazılır.
DOS/DDoS TESTİ
Kuruluş tarafından servis dışı bırakma testinin yapılması istenen hostların ve web uygulamalarının detaylı araştırılması yapılır. Her bir host üzerinden açık olan servislerin ve web uygulamalarının zayıf yönleri dikkate alınarak servis dışı bırakma testi gerçekleştirilir.
MAY Siber Teknoloji Servis dışı bırakma testi tamamlandıktan sonra analiz ve tehdit raporunu risk seviyesine göre sınıflandırarak çözüm önerileri ile beraber detaylı bir şekilde sunar.
SOSYAL MÜHENDİSLİK TESTİ
Sosyal mühendislik testleri kuruluşun isteğine göre ya kuruluş tarafından bildirilen personeller hedef alınır ya da kuruluş internet sayfası, kuruluş telefon santrali, iş ve sosyal medya siteleri üzerinden elde edilen bilgiler doğrultusunda seçilen kuruluş personeli üzerinde gerçekleştirilir. Seçilen kuruluş personelleri hakkında bilgi toplanır ve bu bilgiler çerçevesinde saldırı hazırlığı gerçekleştirilir.
Sosyal mühendislik testi hedef kuruluş yetkilileri ile mutabık kalınarak oluşturulan senaryo çerçevesinde e-posta, telefon kanallarından oltalama saldırısı gerçekleştirilir. Hedef personellerden oltalamaya düşenlerin tespiti ve tepkisi çerçevesinde kuruluş personellerinin bilgi güvenliği farkındalığının ölçümlenmesi sağlanır.
MAY Siber Teknoloji sosyal mühendislik testi tamamlandıktan sonra analiz ve tehdit raporunu çözüm önerileri ile beraber detaylı bir şekilde sunar.
KABLOSUZ AĞ GÜVENLİK TESTİ
Kuruluşa ait kablosuz ağlar hakkında bilgi toplanır. Bu aşamada öncelikle WLAN içindeki gizli veya açık SSID'lerin tespiti ve tespit edilen ağlarda kullanılan şifreleme türlerinin belirlenmesi yapılır. Ayrıca misafir girişleri için kullanılan ve bağlanmayı sağlayan web panelleri keşfedilir ve bu web panelleri hakkında bilgi toplanır.
Keşif aşaması sonrası tespit edilen SSID'lerde kullanılan şifreleme türüne göre sızma testinin gerçekleştirilir. WLAN'a kimlik doğrulaması sonucunda hangi iç ağa girildiğinin gözlenmesi ve bu ağdaki erişilen yerlerin güvenlik değerlendirilmesi yapılır. Misafir ağına giriş için kullanılan uygulamaların güvenlik testi, misafir girişlerinin loglamasının denetimi yapılır.
Sızma testleri tamamlandıktan sonra analiz ve tehdit raporunu, risk seviyesine göre sınıflandırarak, çözüm önerileri ile beraber detaylı bir şekilde sunulur.
EĞİTİM HİZMETLERİ
ISO 27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ TEMEL EĞİTİMİ (UYGULAMALI)
BGYS’nin kurulması, işletilmesi ve devamlılığı için gerekli yetkinliklerin sağlanması.
BT HİZMET YÖNETİMİ EĞİTİMİ (UYGULAMALI)
Hizmet Yönetim Sisteminin kurulması, işletilmesi ve devamlılığı için gerekli yetkinliklerin sağlanması.
HYS çalışmalarında görev alan veya alacak çalışanlar, orta ve üst düzey yöneticiler ve BT çalışanları.
RİSK YÖNETİMİ EĞİTİMİ
Risk yönetimi metodolojisinin belirlenmesi, uygulanması ve sürekli iyileştirmesi için gerekli yetkinliğin sağlanması.
ISO 19011 İÇ TETKİKÇİ EĞİTİMİ
Tetkikçi veya tetkik ekibinin yeterliliğinin sağlanması yanı sıra, bir tetkik programının yönetimi, bir yönetim sistemi tetkikinin planlanması ve gerçekleştirilmesi hususlarının sağlanması.
BEYAZ ŞAPKALI HACKER EĞİTİMİ (UYGULAMALI)
Hacker’ların kullandıkları teknik ve yöntemleri anlaşılması, hacker’ların saldırı sırasında kullandıkları araçları ve uygulamaların anlaşılması için yetkinliklerin sağlanması.
DDoS SALDIRILARI VE SALDIRILARDAN KORUNMA EĞİTİMİ (UYGULAMALI)
DDOS saldırı yöntemlerinin tanıtılması, olası etkilerin ve DDOS saldırılarına karşı önlemlerin alınması konusunda yetkinlik kazandırılması.
ZARARLI YAZILIM ANALİZİ EĞİTİMİ (UYGULAMALI)
Zararlı yazılım geliştirme, bulaştırma yöntemleri ve zararlı yazılım tehditlerine karşı alınabilecek önlemler konularında yetkinlik kazandırılması.
BİLGİ GÜVENLİĞİ SON KULLANICI FARKINDALIK EĞİTİMİ
Son Kullanıcı’nın bilgi güvenliği konularını anlaması, güncel saldırı yöntemleri ve kuruluşun bilgi güvenliği politikaları hakkında bilgilendirilmeleri.
KVKK EĞİTİMİ
Kişisel verilerin korunması kanunu anlaşılması uygulama yöntemleri ile ilgili yetkinlik sağlanması.
SCOP NET
Kurumsal Ağınız Emin Ellerde
Scopnet, yetkisiz cihazların kurumsal ağa dahil olmasını engelleme noktasında üretici bağımsız tüm marka ve model ağ cihazları ile çalışabilme yeteneğine sahip bir çözümdür. Denetçi görevini 802.1x protokolünü kullanmadan yerine getirebildiği gibi Scopnet Radius Mimarisi kullanılarak 802.1x operasyonu yönetilebilmektedir.
SCOP VISION
Veri Ağındaki Keskin Gözünüz
Güvenlik olaylarınızı ve ağınızdan akan veriyi anlık olarak analiz edin. Dahili ve harici tüm tehditlere karşı önleminizi hemen alın.
SCOP SOC
Güvenlik Operasyonunuzda Tam Verimlilik
İzleyin. Tanımlayın. Araştırın. Karar Verin. Hareket Geçin. Hepsi bir arada... Güvenlik operasyonlarının gizliliğini ve bütünlüğünü temin edin.
SCOP MON
BT Altyapınızı Kesintisiz Takip Edin
Bilişim ağlarınızı ve sistemlerinizi tek yerden ve gerçek zamanlı olarak izleyin.
SCOP DESK
Uçtan Uca Tüm BT Hizmetlerini Yönetin
Giderek daha karmaşık hale gelen BT hizmet süreçlerinize tek araçla hâkim olun.
