sa-techetwork

11 Eyl 2009

McAfee SECURE

McAfee SECURE TEKNOLOJİSİ , interaktif güvenlik açığı yönetim portalı ile kombine edilmiş otomatik ağ güvenliği denetimleri (audits) sağlamaktadır. McAfee SECURE bugüne kadar müşterilerimiz için 20 milyondan fazla güvenlik taraması yapmıştır. 80.000’den fazla web sitesi, hackerlardan korunmada McAfee SECURE’in günlük olarak yapılan güvenlik açığı değerlendirmelerine güvenmektedir.

Tarafımızdan uygulanan geliştirilmiş güvenlik açığı tespiti ve yönetim teknolojisi, yayınlanan 200’den fazla çalışmada kullanımı kolay ve oldukça etkin bir güvenlik çözümü olmanın yanı sıra yapılan yatırımın çok kısa bir sürede geri kazanıldığı ispat etmiştir.

sa-techetwork

Güvenlik Veritabanı

McAfee SECURE güncel güvenlik veritabanı , uygulamakta olduğumuz kapsamlı network güvenlik denetimlerimize ve güvenlik açığı yönetim teknolojimize güç katmaktadır. Yeni tespit edilen güvenlik açıklarına karşı veritabanımızı her 15 dakikada bir yaptığımız testlerle ve dünya çapındaki yüzlerce kaynaktan elde edilen onaylı güvenlik yamaları ile güncelliyoruz.İki tarama arası proaktif uyarılarla kombine edilmiş sürekli olarak yapılan bu güncellemelerle McAfee SECURE, müşterilerinin networklerini etkileyen güvenlik açıklarına karşı tetikte olmalarını sağlamaktadır.

Güvenlik Açıkları Yönetim Portalı ve Uyarı Sistemi

McAfee SECURE’in güvenlik açığı yönetim portalı, N – kademeli yük dengesine sahip uygulama sunucularında detaylı güvenlik açığı denetimlerine (audits) ve iyileştirme bilgilerine güvenli erişim sağlamaktadır. Web tabanlı güvenlik açığı yönetim portalımıza da herhangi bir noktadan erişim sağlanabilmektedir. Kapsamlı güvenlik araçlarımız ile güvenlik taramalarını başlatabilir, güvenlik açıklarını inceleyebilir, network grupları yaratabilir, network trafiğini izleyebilir, yama bilgilerine erişebilir, uyarıları yapılandırabilir, kullanıcı listelerini ve kullanıcı cihazı sorumluluk gruplarını belirleyebilir ve kişiye özel raporlar oluşturabilirsiniz.

Tarama Araçları

Kuzey Amerika ve Asya’daki çoklu veri merkezlerinde bulunan özel tarama sunucu ağımız dünyanın 40 ülkesindeki binlerce müşterimize günlük güvenlik taraması hizmeti sağlamamıza olanak vermektedir. Her tarama aracı, o işlem için en uygun tarama uygulamasını testlerle otomatik olarak belirleyen merkezi veritabanımız ve güvenlik açığı yönetim sistemimiz tarafından kontrol edilmektedir.

Veri Güvenliği

McAfee SECURE, Visa International tarafından belirlenmiş CISP/AIS ( Cardholder Information Security Program/ Automated Information System )Level 1 güvenlik standartına uygun, bağımsız ve tek güvenlik tarama programı satıcısıdır.Tüm portal altyapımız ve müşteri verilerimiz 7 gün 24 saat site korumalı ve biometrik erişim kontrollü SAS-70 ( Statement on Auditing Standarts ) güvenlik sertifikasına sahip yüksek güvenlikli birinci öncelikli veri merkezlerinde muhafaza edilmektedir. Portal, yüksek korumalı firewall ve saldırı tespit sistemlerinin arkasında güvenlik altına alınmıştır. Buna ek olarak, her sunucu, kendine ait firewall, güçlendirilmiş ve ayarları yapılmış Linux İşletim Sistemi ile beraber IDS/IPS
( Intrusion Detecting System / Information Processing System)kullanmaktadır.

Her kullanıcı hesabı güvenli erişim IP adresi kısıtlaması, özel anahtar denetimi ve çift faktörlü tek kullanımlık şifre denetlemesi gibi güvenlik seçenekleri ile yapılandırılır.

Müşteri Hizmetleri

McAfee SECURE sertifikası CISSP ( Certified Information Systems Security Profesional) sertifikalı güvenlik profesyonelleri vasıtasıyla müşterilerine sınırsız online, e-posta yada telefon üzerinden teknik destek sağlamaktadır. Teknik probleminizin türü ve seviyesi ne olursa olsun, deneyimli sistem uzmanlarımız size gerekli desteği verecektir. Her gün binlerce network altyapısını tarama ve denetlemenin verdiği tecrübeyle gerekli olan her türlü desteği en hızlı şekilde vermeyi garanti ediyoruz.

McAfee SECURE ‘un Güvenlik Açığı Denetim Sürecine Bakış

McAfee SECURE sertifikasyonu, günlük olarak yapılan detaylı network denetimlerinden (audits) oluşmaktadır. Sertifikasyon süreci 6 adımda tamamlanmaktadır. İlk 3 adım güvenlik açığı denetlemesi ile ilgili Dinamik Port Tarama, Port – Seviyesi Network Servisleri Güvenlik Açığı ve Web Uygulamalı Güvenlik Açığı Testleridir. 4. ve 5. adımlarda ise güvenlik açığı tespit edildiği anda uyarılar güvenlik yönetimi networkümüz tarafından verilir.Sonuç son derece etkili ve proaktif güvenlik sağlar.

Güvenlik Açığı Denetim (Audit) İşlemi:

(Tüm tarama aktivitesi güvenlidir ve network işlemlerinizi hiçbir şekilde etkilemez)

Adım 1 – Port Tespit Taraması

İlk fazda detaylı ve interaktif olarak hedefin port taraması yapılır. Bir IP adresindeki hangi portların açık olduğuna karar vermek kapsamlı bir güvenlik taramasında ilk kritik adımdır. McAfee SECURE’in özel güvenlik duvarı ve IDS/IPS destekli network tespit teknolojisi her boyuttaki ve çeşitlilikteki network yapısını gözlemlemek üzere tasarlanmıştır. Bu aslında basit bir işlem değildir. “N-map” tabanlı diğer birçok tarama çözümlerinin aksine bizim gelişmiş dinamik port tarama sistemimiz tüm hedefleri, masaüstü bilgisayarlarından en etkin güvenlik duvarları, IDS ve IPS sistemlerine kadar tarama yeteneğine sahiptir.

Adım 2 – Network Servislerinde Güvenlik Açığı Taraması

Denetim (audit) sürecinin ikinci fazı boyunca, tüm portlarda çalışan her servisin içeriğini yazılım ve yapılandırma tipi açısından tek tek sorgularız. Bu bilgiler elde edildikten sonra diğer güvenlik açığı testlerinin de gerekip gerekmediğinin tespiti için veritabanındaki ilgili veriler ile karşılaştırılır. Bu testler, her 15 dakikada bir güncellenen ve veritabanımızda bulunan 10.000 den fazla güvenlik açığı verilerine göre uygulanmaktadır.

Adım 3 – Web Uygulamalı Tarama

>Web uygulamalı tarama,McAfee SECURE’in günlük güvenlik denetim sürecinin üçüncü ve belki de en önemli fazını oluşturur. Güvenlik -Analiz şirketi olan Gartner Group’ a göre günümüzde tespit edilen güvenlik açıklarının tahmini % 70’i web tabanlı uygulamalarından kaynaklandığını belirtmektedir. Güvenlik duvarları ve IDS’ler gibi geleneksel güvenlik mekanizmaları web tabanlı uygulamalar vasıtasıyla olan saldırılara karşı neredeyse hiç koruma sağlayamamaktadır. Bu test fazı boyunca tüm HTTP servisleri ve sanal domainler potansiyel olarak tehlikeli olan modüller, yapılandırma ayarları, CGI’ ler ( Common Gateway Interfac ) , diğer scriptler ve kendiliğinden yüklenmiş dosyaların sistemdeki varlığına karşı taranır. Web sitesi flash yüklü linkler ve şifre korumalı sayfalar dahil, tehlikeli “interaktif elemanların” tespit edilebilmesi için derinlemesine taranır. Bunlar , kod açıklaması, çapraz site “script”lemesi ve SQL enjeksiyonu gibi herhangi bir uygulama düzeyli güvenlik açığının görüntülenmesinde uygulanır.Jenerik ve yazılım tabanlı testler, yanlış yapılandırılmış ve kod hatalı güvenlik açıklarının tespiti için yapılır.

Bu 3 fazlı güvenlik açığı denetim (auditing) yaklaşımı, sunucularınızda daha az işlem yükü ile daha etkin güvenlik denetimi (audit) yapmamıza olanak verir. Aynı zamanda, bir hedefteki sistemsel değişikliklerin tespit edilebilmesinde herhangi bir güvenlik testini, belirli portların ya da güvenlik açıklarının izlememizi veya tek bir sunucudaki çoklu web sitelerinde web tabanlı testleri yapmamızı sağlar.

Adım 4 – Uyarı Verme

Yapmış olduğunuz günlük ya da manual güvenlik denetimlerden (audit) sonra, eğer bulunduysa, güvenlik açığının varlığına dair sistemden uyarı alırsınız. Bu uyarılar kullanıcı, aygıt grubu ve önem seviyesine göre yapılandırılır. Aynı zamanda cep telefonları ve çağrı cihazları gibi e-posta tabanlı aygıtların numaralarına da gönderilebilir. Günlük yapılan her iki güvenlik denetiminin arasında bizim güvenlik veritabanımıza herhangi bir güvenlik açığı bilgisi eklendiğinde size de aynı anda bu güvenlik uyarısı iletilecektir. Bu durum günlük yapılan güvenlik denetimleri arasındaki güvenlik açığı riskine maruz kalma süresini azaltmaktadır. Ayrıca yapılan manual denetimler (audits) de istenildiği zaman uygulanabilir. Manual denetimler, yama uygunluğu belirlenmesinde o anki güvenlik açıklarını yeniden test etmek ya da DOS ve “Tam kapsamlı güvenlik açığı” testlerinin uygulanması için yapılandırılabilir.

Adım 5 – Analiz ve sorun giderme:

İnteraktif araçlar ve program sihirbazları, güvenlik açığı bilgilerini kolaylıkla yönetmenizi sağlar. Güvenlik açıkları; aygıt grupları kombinasyonu, güvenlik açığının derecesi ya da yama uygulama durumuna göre sıralama yapmanıza olanak verir. Yapılandırılabilen aygıt gruplama süreci, hızlandırılmış sorun giderme planlaması yapmanızı, yetkilendirmeleri ele almanızı ve yama yönetimini uygulamanızı sağlar. Tamamlanmış ve takip edilmesi kolay detaylı yama uygulama talimatları güvenlik açığı yönetim arayüzü kapsamında sunulmakta ve CVE (Common Vulnerability Exposures), CERT(Computer Emergency Response Team), BugTraq ve satıcı kaynakları gibi daha fazla bilgiye linkler de verilmektedir. McAfee SECURE sertifikasyon hizmeti aynı zamanda limitsiz e-posta ve CISSP ( Certified Information Systems Security Profesional) onaylı güvenlik profesyonelleri ile yaptıkları görüşmelerde limitsiz telefon servisini de içermektedir. Sorunuzun içeriği ve zorluk seviyesi ne olursa olsun, deneyimli ekibimiz sorun giderme sürecinde size destek olacaktır.

Adım 6 – McAfee SECURE Sertifikasyonu

McAfee SECURE’in patent başvurusu yapılmış olan güvenlik denetimi teknolojisi, bir web sitesinin güncel güvenlik durumu sadece devlet tarafından belirlenmiş en yüksek güvenlik standartlarına uygun olması halinde McAfee SECURE markasının görülmesine olanak vermektedir. Sertifikasyon işaretinin yerini tek noktalı görünen image’ı almadan önce güvenlik açıklarına yama uygulanabilmesi için en fazla 72 saatlik bir süre vardır. Sertifika işareti, yeni bir güvenlik denetimi (audit) yapılır yapılmaz tekrar görüntülenecektir. McAfee SECURE sertifikası, SANS/FBI Top 20 İnternette Güvenlik Açıkları testine ek olarak Kredi Kartı sektörü (PCI) standartı için uygulanan tarama gerekliliklerinin yerine getirilmesinde akreditedir.

McAfee SecureTM Servisi

McAfee Secure sahip siteler günlük olarak 15,000 den fazla güvenlik açıga karşı test edilir

McAfee SECURE siteleri FBI/SANS güvenlik testini geçecek şekilde ve Visa CISP ve AIS, MasterCard SDP ve American Express DSS programlarının güvenlik gerekliliği olan Kredi Kart Sektörü (PCI) Veri Güvenlik Standartı kapsamında günlük olarak test edilir ve bu test sonuçları onaylanır.

  • 1000’den fazla ROI ( Return On Investment ) çalışmasında online satışlarda artış tespiti,
  • Tüm federal, kamu ve kredi kart sektörü gerekliliklerin yerine getirilmesi ile beraber ilgili sorumlulukların azalması,
  • En üst düzey güvenliğin sağlanmasında sınırsız teknik destek,
  • Akamai network üzerinden sunulan McAfee SECURE sertifikasyonu Dünyanın en hızlısı,
  • Dünya çapındaki 80.000’den fazla e-ticaret web sitesine güvenlik hizmeti,
  • Birçok dilde hizmet – İngilizce, Japonca, Çince, İspanyolca, Flamanca, Almanca ve yakında Türkçe.

Network Güvenlik Denetimi (Audit)

Web tabanlı güvenlik açığı testi ve güvenlik yenileme yönetimi sayesinde, McAfee SECURE müşterileri herhangi bir donanım ya da yazılıma ihtiyaç duymamamaktadır. HIPAA , SOX (Sarbannes Oxeley)ve PCI (Payment Card Industry) “Uyum Raporları” hızlı bir şekilde oluşturulabilmektedir.

  • Çalıştırılması Kolay: kurulum ya da bakım için herhangi bir donanım ya da yazılıma gerek yok,
  • Akredite olan bağımsız denetimler, kamu ve sektör standartları ile uyumlu,
  • Eksiksiz ve güncel güvenlik veritabanı,
  • Kapsamlı ve kullanımı kolay interaktif raporlama,
  • Otomatik güvenlik açığı tespiti ve güvenlik sorunu giderme yönetimi,
  • SANS/FBI Top 20 ve PCI/DSS, Visa, MasterCard, AMEX ve Discover ile uyumlu,
  • ISO 17799 ve SAS 70 gibi sektör standartlarına ulaşmak amacıyla yapılan güvenlik değerlendirmeleri.

Network Tespiti

Gelişmiş “akıllı” port-tarama teknolojisi, yapısı karışık kamu IP networkleri güvenlik yönetim zorluğunu basite indirgemek için tasarlanmıştır. Bu teknoloji network aygıtlarını hızlı ve doğru bir şekilde tespit etmenizi, tanımlamanızı ve izlemenizi sağlar. Böylece gerektiği gibi çalışmayan aygıtları ya da belirli bir IP sub-net hattından gelen yetkisiz erişimleri tanımlamış olursunuz.

  • Hosting, internet servis sağlayıcıları ve yetkisiz aygıtların hızlı ve doğru tespiti,
  • Sisteme olan saldırılara karşı gizli savunma teknikleri, tarama bloklama ve diğerleri,
  • IP bloklama ile çoklu gruplama, aygıt tipi, fiziksel konum ya da atanmış yönetici,
  • Aygıt ya da port değişiklikleri ve yeni güvenlik açıkları baz alınarak yeniden yapılandırılabilen uyarılar.

Penetrasyon Testi

McAfee SECURE ‘in uygulamakta olduğu penetrasyon testi şu andaki en kapsamlı ve en ayrıntılı web ve internet tabanlı testtir.Deneyimli uzmanlarımız, networkünüzün bütünlüğü, ulaşılabilirliği ve güvenliğini tehdit eden, hackerlar tarafından kullanılan herhangi bir güvenlik açığı, sistem zayıflığı ya da sistemden veri çalınması gibi internete bağlı sistemlerde oluşabilen güvenlik zaaflarını incelemektedir.

  • Otomatik ve manual güvenlik açığı tespiti ve ilgili sorunların giderilmesi
  • Etiketli ya da kurtarılmış bilgilerin kopyası ile sistem güncelliğinin onaylanması
  • Devlet tarafından verilen Gizlilik” derecesine sahip CISSP ( Certified Information Systems Security Profesional) onaylı personel
  • Kapsamlı güvenlik açığı değerlendirmesi ve detaylı raporlama
  • Onaylı güvenlik denetim firmaları pcı

Dünyanın en çok itimat edilen ve önde gelen güvenlik sertifikası

McAfee Secure(R) sertifika logosu dünya çapında 80.000’den fazla web sitesinde görünmektedir. McAfee SECURE sertifikalı siteler; perakende e-ticaret alanındaki bazı en büyük markaları, bankaları, üniversiteleri, Fortune dergisinin yayınladığı 500 e-ticaret şirketini, kamu yönetimini ve kâr amacı gütmeyen kuruluşları içermektedir.

Dinamik ” gerçek zamanlı ” güvenlik sertifikası

McAfee SECURE’un güvenlik denetim (auditing) teknolojisi bir web sitesinin güncel güvenlik durumu sadece devlet tarafından belirlenmiş en yüksek güvenlik standartlarına uygun olması halinde McAfee SECURE logosunun görüntülenmesine olanak vermektedir.

McAfee Secure logosunun görüntülenmesi

%100 kullanılırlık, hemen ölçülebilirlik ve hızlı imaj yüklemelerinin sağlanması için McAfee SECURE sertifikasyonu imajı Akamai global networkü üzerinden sunulmaktadır. Akamai, 105 ülkede 16.000 sunucu ile dünyanın en büyük içerik dağıtım networküdür. McAfee SECURE, sertifikasyon imajının sunulması için son derece hızlı imaj yükleme süresi garanti etmekte ve tüm dünyada geçerli %100 kullanılırlık garantili Servis Anlaşması (SLA) imkânını vermektedir.

Sitenize erişim oran artışının test edilmesi

McAfee SECURE sertifika imajının web sitenize yerleştirilmesi ile ziyaretçi ve satış oranlarınızın arttığı ispatlanmıştır. Teknolojimiz şirket içi veri takip aracı olmadan müşterilere bir satış analizi ile McAfee SECURE sertifikasının işlerine nasıl katkıda bulunduğu ölçme imkânını vermektedir. ScanAlert’in satış analizi teknolojisi, site ziyaretçilerinin yarısının McAfee SECURE sertifikası imajını görebildiği; diğer yarısının (kontrol grubu) da göremediği bir A/B test yöntemi kullanmaktadır. Satış analiz hizmetimiz kurulum desteği ve gerçek zamanlı grafiksel raporlama verilerini içermektedir.

Kredi Kartı İşlemi Yapanlar, Kredi Kartı Servis Sağlayıcıları ve Kredi Kartı MerkezlerineSağladığı Eşsiz Faydaları

McAfee şu anda PCI Uyum programlarını Visa International, CyberSource ve The Council of Better Business Bureaus (BBBOnline) gibi kanal ortakları ile 150.000’den fazla üye işyeri ve bağımsız servis sağlayıcısının güvenlik işlemlerini dünya çapında yürütmektedir.

  • Kredi kartı sektörünün lider uyumluluk onayı hizmeti:
  • Kullanımı kolay ve kullanıcı dostu program, uyumu arttırıcı ek özelikleri ile,
  • Tüm işletmeler için düzenlenmiş ve basitleştirilmiş açıklamalar,
  • Müşteri sadakatini sağlayan markalı hizmetler ve üstün teknik destek,
  • Visa International tarafından onaylı CISP Level 1 kriterlerine sahip tek uzman tarama sistemi,
  • Tarama ve kendi kendini değerlendirme sonuçları dahil online raporlama,
  • Yüksek risk altındaki üye işletmelerine, riskin önceden belirlenmesine olanak sağlayan hizmetler