BLOG

Log4j Zero-Day İle İlgİlİ Son Gelİşmeler

Bu kritik Zero-Day açığı, belirli bir payload’ı günlüğe kaydederek RCE’ye (Remote Code Execution - Uzaktan Kod Yürütme) izin veren son derece popüler Java loglama kütüphanesi olan log4j’de keşfedildi. Güvenlik açığına, CVSS (Common Vulnerability Scoring System - Ortak Güvenlik Açığı Puanlama Sistemi) puanı mümkün olan en yüksek risk olan 10 olup kritik önem seviyesine sahip olan “Log4Shell” takma adı GitHub Advisory tarafından verildi. İSTİSMARIN AMACI Log4Shell, kamuya açıklanmadan birkaç gün önce istismar (exploit) ediliyordu.

Okumaya Devam Et

En Tehlİkelİ 25 Yazılım Açığı Güncellendİ

MITRE, geçmiş iki yıl boyunca yazılımcıların başına bela olan en yaygın ve en tehlikeli açıkların ilk 25 listesini paylaştı. Yazılım zafiyetleri, bir yazılım çözümünün kodunu, mimarisini, uygulamasını veya tasarımını etkileyen ve üzerinde çalıştığı sistemleri potansiyel olarak saldırılara maruz bırakan kusurlar, hatalar, güvenlik açıkları ve diğer çeşitli hata türleridir. MITRE, Ulusal Güvenlik Açığı Veritabanından (NVD) (yaklaşık 27.000 CVE) elde edilen 2019 ve 2020 yıllarına ait Yaygın Güvenlik Açıkları ve Etkilenmeleri (Common Vulnerabilities and Exposures) verilerini kullanarak ilk 25 listesini güncelledi.

Okumaya Devam Et

Üst Üste Dördüncü Yılda da Checkmarx Uygulama Güvenliği Test kategorisinde Gartner Magic Quadrant Lideri

Uygulama güvenliği testleri alanında dünya lideri Checkmarx, 1 Haziran 2021’de üst üste dördüncü kez Uygulama Güvenliği Testi alanında 2021 Gartner Magic Quadrant’ta Lider olarak konumlandığını duyurdu. Raporda Gartner, Checkmarx’ın vizyonunun eksiksiz olduğunu ve uygulama güvenliği testi (AST) pazarında yetkinliğinin takdirine dikkat çekiyor. Rapor yazarı, “Piyasanın doğası değişti. Piyasaya geleneksel olarak statik, dinamik ve etkileşimli AppSec Test araçları odağından baktık. Bu tür araçlar bir AppSec programının omurgası olarak kalırken bu sürece, yazılım bileşen analizi (SCA), mobil testler, iş açısından kritik (örn: SAP, SalesForce) uygulama testi, API testi, kod olarak altyapı (IaC) taraması ve Konteyner taraması dahil olmak üzere bir dizi başka araç da katılmaktadır.

Okumaya Devam Et

Tedarik Zinciri Saldırısı (Supply Chain Attack)

Bu yazımda size Tedarik Zinciri ve saldırıları hakkında bilgi vermek istiyorum. Öncelikle “Tedarik Zinciri nedir?” biraz ondan bahsetmeliyim. Tedarik Zinciri Nedir ? Bilişim sektöründe “Tedarik Zinciri” dediğimiz kavramı, ürünler ya da hizmetlerin tedarikçiden müşteriye doğru hareketlerini kapsayan ve bu süreç içerisindeki grupları, insanları, teknolojileri, faaliyetleri ve kaynakları kapsayan sistemlerin bütününe verilen isimdir. Şirketlerin maliyetlerini düşürüp, rekabetçi iş ortamında kalabilmek için tedarik zincirlerini geliştirirler. Optimize edilmiş bir tedarik zinciri daha düşük maliyetler ve daha hızlı bir üretim döngüsü ile sonuçlandığından, tedarik zinciri yöntemi çok önemli bir süreçtir.

Okumaya Devam Et

SİBER GÜVENLİK, TİCARİ BAŞARININ İTİCİ GÜCÜ OLACAKTIR

Uygarlık tarihinde İkinci Dünya Savaşından günümüze dünyamızı en köklü ve en olumsuz etkileyen olaylardan biri olan Covid-19 salgını sebebiyle belirsizlikler içinde geçen zorlu 2020 yılını geride bıraktık. Hiç alışık olmadığımız şeyler yaşadığımız bu zaman diliminde, sürecin hangi doğrultuda şekilleneceği yönünde kesinlik taşıyan açıklamalar getirmek henüz mümkün görünmüyor. Salgın, dünyamızdaki milyarlarca insanın bütününü ilgilendiriyor ve bu açıdan insanlığın tarih boyunca karşılaştığı hiçbir hastalık ile kıyaslanmayacak boyutta dünyamızı etkisi altına almayı sürdürüyor. 2020’nin alışılmadık bir yıl olduğunu söylemek yetersiz kalır.

Okumaya Devam Et

2021’e ÖDÜLLER İLE GİRİYORUZ…

Uluslararası girişimcilik dergisi APAC Entrepreneur tarafından her yıl farklı ülkelerden yapılan araştırmalar sonucu belirlenen kriterlerle “2020 yılının en dinamik girişimcileri” ödülüne bu yıl Türkiye’den Kurucumuz ve Yönetim Kurulu Başkanımız Cüneyt Kalpakoğlu seçilmiştir. APAC Entrepreneur dergisi, Siber güvenliğin “Kod Analizi ve Güvenli Kod Geliştirme eğitiminin yaygınlaştırmasına” yaptığı katkılar ötesinde özellikle günümüzde “Teknolojinin etik değerlerle kullanımına” verdiği önem kriteriyle ülkemizden Cüneyt Kalpakoğlu’nun bu ödülü hak ettiğine dikkat çekiyor. Bu sevindirici gelişme dışında Uluslararası bağımsız Bilgi Teknolojileri Araştırma Kurumu GARTNER grup tarafından son 3 yıldır Siber Güvenliğin Kod Analizi alanında Lider olan CHECKMARX şirketi, Ülkemizde öncülüğünü yaptığımız siber güvenliğin “Kod Analizi ve Güvenli Kod Geliştirme konularına” yaptığımız katkılar sebebiyle şirketimize “INOVASYON” ödülü vermiştir.

Okumaya Devam Et

DevOps'tan DevSecOps'a Dönüşüm

DevOps, yazılım geliştirme sürecinde kod geliştiren programcılar ve sistem yöneticileri arasında daha verimli ve etkin iş birliği kurmayı amaçlayan bir metodolojidir. Bir DevOps mühendisinin bu iki grubun kesişiminde ekiplerin koordinasyonuna odaklanan bir uzman olarak birincil hedefi, yazılım geliştirmenin öngörülebilirliğini, verimliliğini ve güvenliğini mümkün olan en üst seviyeye çıkarmaktır. DevSecOps, DevOps kavramının daha da gelişmiş şekliyle bu süreçlere ek olarak otomasyonun yanı sıra kod güvenliğinin etkinliği ve sürekliliği ile kod kalitesi konularını uygulama yazılımlarının zafiyet yönetimi ve orkestrasyonu bütünleştirmesiyle ele alır.

Okumaya Devam Et

Kodunuz Ne Kadar Güvenli ?

Geçtiğimiz yıl “Yapay zeka, tahmine dayalı modelleme ve kuantum hesaplama” gibi alanlarda çok ciddi ve büyük adımlar atılmış olmasına rağmen 2019’u hem iyi hem de kötü yönüyle bizlerde iz bırakan bir dönem olarak hatırlarız. Ancak, diğer açıdan o yıl siber tehditlere karşı hala ne kadar savunmasız olduğumuzu da bizlere kanıtladı…Hemen aklıma gelenleri anımsayalım… • Siber Fidyecilik sebebiyle Kanada’daki bir Sağlık laboratuvarı – (Konusunda ülkedeki en büyük şirket ) - 85.000 müşterinin hassas sağlık bilgilerini ve giriş bilgilerini (şifreler dahil) güvence altına almak için açıklanmayan meblağda bir miktar para ödedi.

Okumaya Devam Et

Statik Kod Analizinde Doğrular Yanlışlar

Zaman zaman “Statik kod analizi” kavramının kod kalitesini saptama olarak algılandığını ve kalite ölçmek için olan çözümlerle karıştırıldığını görüyoruz. Statik kod analizi, kodunuzun belli bir kaliteyi tutturmasını sağlamak için değil bu konu için geliştirilmiş özel yazılım ortamları tarafından taranarak Siber Güvenlik kriterlerine göre kritik zafiyetler içerip içermediğinin belirlenmesini amaçlar. Kod incelenmesi (Code Review) ise programı geliştiren kişiden başka bir programcının kodu gözden geçirdiği manuel bir işlemdir. Kodlama kurallarından kaynaklanan küçük hataları veya sapmaları tespit etmenin ve göreceli olarak genel kod kalitesinin iyileştirmesini sağlamanın geleneksel yolu olmakla birlikte, kritik zafiyetlerin tespitini yapamaz ve başarısı kodu gözden geçiren kişinin dikkati ve birikimine bağlıdır.

Okumaya Devam Et

ASTO ( Application Security Testing Orchestration )

Uygulama açıkları nedeniyle meydana gelen sık ve büyük çaplı ihlaller göz önünde bulundurulduğunda, güvenlik testlerine yönelik klasik yaklaşımlar eksik kalıyor. Kod ve uygulama güvenliği testlerinin yazılım geliştirme yaşam döngüsüne sorunsuz bir şekilde gömülmesi artık zorunlu hale geldi. DevSecOps’un arkasında, güvenlik görünürlüğünü ve güvencesini kod kontrolünden kod üretimine ve devam eden operasyonlara entegre eden ve otomatikleştiren ( ASTO Apllication Security Test Orchestration ) önemli bir kavram olarak ortaya çıktı. Gartner “Başarılı DevSecOps için Gerekli olan 10 yaklaşım” raporunda bu konuya dikkat çekiyor ve “2019’da , kurumsal DevSecOps girişimlerinin %70’inden fazlasının otomatik güvenlik açığı ve yapılandırma taramasına ve ASTO’ya ihtiyaç duyacağını ve bu oranın sürekli arttığını dile getiriyor.

Okumaya Devam Et