Spencer Chin ile konuştuk, Hackerone’de Kuzey Amerika Satış Mühendisliği Direktörü ve Jasmin Landry– NASDAQ Kıdemli Direktörü ve Hackerone Penetrasyon Test Cihazı. Birlikte, yüzlerce kuruluşa yardımcı oldular, örneğin Gramer gibi– ZebraVe Jedoksmümkün olan en iyi sonuçları elde etmeleri için penetrasyon testlerini kapsam ve yürüt. Spencer ve Jasmin’den gelen bu ipuçları, gerçek dünya deneyimine dayanmaktadır ve kuruluşunuzun baştan sona başarılı bir katılımla başa çıkmasına yardımcı olacak şekilde yapılandırılmıştır.
En Penting’den Önce
1. Yedekleme yap ve test et
Bazı durumlarda, pentestler üretim ortamlarında gerçekleştirilir. Bu durumda, kuruluşunuzun tüm verilerinin yedeklerine sahip olduğundan emin olun ve yedeklemelerin bir geri yüklemeyi test ederek çalıştığını doğrulayın. Kazalar Pentests sırasında olabileceği ve olacağı için veri restorasyonuna hazırlanmak en iyisidir.
2. Bir olay müdahale planı seti ve yürütmeye hazır
Bazen, pentesters ya bir olaya (nadirdir) neden olabilecek güvenlik açıkları bulur veya kötü niyetli bir aktörün geçmişte bir kırılganlıktan zaten yararlandığına dair kanıt bulurlar.
BENBu olur, olay yanıtı (IR) planınızı başlatmanız gerekebilir. IR planınızı iyice test edin ve her ekip üyesinin rollerini ve sorumluluklarını bildiğinden emin olun. Örneğin, pentesters bir güvenlik açığının kullanıldığını keşfettiyse ve kişisel olarak tanımlanabilir bilgileri (PII) eklemek için kullanılmışsa, IR planınız derhal başlatmaya hazır olmalıdır.
3. Graybox yap
En çirkinliğinizin kara kutu, beyaz kutu veya gri kutu olup olmayacağına karar vermek hedeflerinize bağlıdır.
- Kara kutu testi Test edilen varlıklar hakkında çok sınırlı veya hiç bilgi sağlar
- Beyaz Kutu Testi Kaynak kodu ve kimlik bilgileri dahil ancak bunlarla sınırlı olmamak üzere test edilen varlıklar hakkında tam bilgi sağlar
- Gri kutu testi ortada bir yer
Kuruluşlar genellikle uzak bir düşmanın kendileri hakkında neler keşfedebileceğini ve bir siber saldırı gerçekleştirmek için bu zekayı nasıl kullanabileceklerini simüle etmek için bir kara kutu değerlendirmesi kullanırlar. Birçok müşteri, bir kara kutu yaklaşımı ile gitmeye karar verir, çünkü bunun en iyi şekilde kuruluşunuz hakkında sınırlı bilgiye sahip gerçek bir düşmanı simüle edeceğini düşünüyorlar. Bununla birlikte, bu, rakiplerin genellikle saldırılarına bir çatı katından daha fazla zamana sahip oldukları gerçeğini indirir. Pentesters birkaç haftalık testlerle sınırlıdır, rakiplerin sınırsız zamanı vardır.
Gri kutu penetrasyon testi, bu sefer, güvenlik açıkları bulmaya odaklanabilmeleri için test cihazlarına alakalı bilgiler sağlayarak boşluğu doldurur. Amacınız varlıklarınız üzerindeki güvenlik açıklarını mümkün olan en verimli şekilde (ve dolayısıyla en uygun maliyetli) tanımlamaksa, gri bir kutu yaklaşımı en etkili olacaktır.
Pentest ekibinize aşağıdaki bilgileri sağlayın ve gri kutu testinde erişim sağlayın:
- Değişen erişim seviyelerine sahip birden fazla kullanıcı rolü. Birden çok kullanıcı rolü sağlamak, test cihazlarının yetkilendirme kontrollerinin amaçlandığı gibi çalıştığını ve genellikle varlığın daha fazla test edilmesine erişimini sağladığını doğrulamalarını sağlar.
- Teknoloji yığını hakkında bilgi. Farklı teknolojiler belirli türden güvenlik açıklarına daha duyarlıdır.
- Uygulamanın barındırıldığı yer. Saldırı yöntemleri, uygulamanın bulutta veya şirket içi olup olmadığına bağlı olarak değişir.
- Pentest ekibini güvenlik duvarınıza (veya WAF) izin ver listenize ekleyin. Ücret sınırlı veya engellenmiş olan en pent en pent ekibinden kaçının ve uygulamayı test ederek zamanlarını odaklayın.
HackerOne, bu temel bilgilerin toplanmasını ve hangi varlıkların test edilmesi gerektiğini kolaylaştırmak için platform içi bir pantolon scoping formuna sahiptir. Kapsamlama formu, detayları en iyi şekilde paylaşabilmeleri için en iyi şekilde paylaşmayı kolaylaştırır.
4. Varlıklarınızın ve varlık sahiplerinizin güncel bir envanterine sahip olun
Pentest, bir joker alanı, IP aralığını veya hatta bir şirketin sahip olduğu tüm varlıkları içerebilir. Tüm varlıkların sahibini kapsamda bulun. Kritik güvenlik açıklarını mümkün olan en kısa sürede düzeltin. Test cihazlarının gerektiğinde soru sorabilmesi için organizasyonel iletişim bilgilerini atayın ve paylaşın.
Hackerone Varlık Envanteri, tüm varlıklarınızı ve ilişkili uygulama güvenlik testini ölçmek için merkezi bir yer sağlar. Saldırı Yüzey Yönetimi çözümümüz hakkında daha fazla bilgi edinin.
5. Dev ekibinizde döngü
Bir nişan planlarken, geliştirme ekibinizi en pahalı çalıştırdığınız için uyarın. Çoğu durumda, güvenlik açığı iyileştirmesi geliştirme ekibinize düşecek ve hiç kimse kapılarının önünde ortaya çıkan beklenmedik, yüksek öncelikli çalışmaları sevmiyor.
Hackerone Pentest, iyileştirme çabalarınızı kolaylaştırmak için JIRA, ServiceNow, GitHub ve GitLab gibi yazılım geliştirme yaşam döngüsü (SDLC) araçlarıyla çeşitli entegrasyonlara sahiptir. Bu entegrasyonlar, güvenlik açığı raporlarını hackerone’den geliştiricilerinizin kullandığı yerel araçlara itmenizi sağlar, böylece iş akışlarını değiştirmeleri gerekmez.
Hackerone platformunun entegrasyonlarının tam listesine bakın.
6. Çevreyi bir kontrol listesi ile hazırlayın
Yukarıdaki tüm noktaları dikkate aldıktan sonra, son adım test ortamını en pahalı ve zamanında başlatmak için hazırlamaktır. Hızlı bir kontrol listesi:
- Çevrenin erişilebilir olduğunu onaylayın.
- Mobil uygulamalar için, test uzmanlarının uygulamayı nasıl aldıklarını anladığından emin olun (Google Play Console/TestFlight, vb. Kullanarak bir APK/IPA dosyası sağlıyor musunuz).
- Güvenlik duvarlarınız veya diğer sistemleriniz için izin verilen listeye Pentest ekibini eklemeniz gerekiyorsa, bu değişikliklerin uygulandığını ve işlevsel olduğunu onaylayın.
- Test cihazları için gerekli tüm kimlik bilgilerini sağlayın ve işlevsel olduklarından emin olmak için kimlik bilgilerini test edin.
Bir pentest başlatmadan önce sorulması gereken 12 temel soru ile daha derinlemesine bir kontrol listesine bakın.
En Pent’ten sonra
En pentinizi düzgün bir şekilde hazırlamak için yukarıdaki adımları izlediyseniz, güvenlik duruşunuzu iyileştirmeye yardımcı olmak için etkili sonuçlar elde etmelisiniz.
7. Güvenlik ekibinizle ilgili bilgi
Güvenlik açığı raporlarını gözden geçirin ve iyileştirme çabalarınızı iyileştirmek ve gelecekteki saldırılar için algılama yeteneklerinize ince ayar yapmak için bir araç olarak kullanın.
Pentest, varlıklarınızın güvenlik açıklarını ve savunma, tespit ve yanıt çabalarınızın ne kadar etkili olduğunu anlamak için harika bir fırsattır. Anlamak:
- Herhangi bir uyarı tetiklendi mi?
- Olay yanıtı düzgün bir şekilde başladı mı?
- Yoksa tamamen karanlıkta mı kaldın?
Tüm hackerone Pentests, siz ve en pent ekibiniz için ortak bir gevşek kanal kurdu. En Pentest ekibinizle gerçek zamanlı olarak iletişim kurun-test hakkında sorular sorun ve cevaplayın, test ilerledikçe güncellemeler alın ve sonuçta en çok değeri alın. Bundan yararlanmanın bir yolu, test cihazlarıyla en pahalı gerçekleştirirken iletişim kurmaktır, böylece ağ günlüklerinizde ve trafiğinizde test etkinliklerinin nasıl göründüğünü görebilirsiniz. Bu, gelecekte saldırıları doğru bir şekilde tanımlayabileceğinizi ve tespit edebileceğinizi doğrulamaya yardımcı olacaktır.
8. Tarama araçlarınızı ayarlamak için bulguları kullanın
İdeal olarak, şirketiniz yeni bir sürüm konuşlandırılmadan önce yaşam döngüsünün geliştirme aşamasında bilinen güvenlik açıklarını yakalamak için Statik Uygulama Güvenlik Testi (SAST) ve Dinamik Uygulama Güvenlik Testi (DAST) araçlarını kullanıyor. En çirkin bulgularınıza ve Sast ve Dast tarayıcılarının kaçırdığı şeylere dayanarak, bu araçlara kurallar eklemeniz veya güncellemeniz gerekebilir. Bu, altyapınızı kod (IAC) olarak tarayan araçlar için de geçerlidir. Çoğu zaman, en pahalı bir yanlış yapılandırmadan kaynaklanan güvenlik açıklarını yakalar ve kurallarınızı bunları buna göre yakalamak için ayarlamak istersiniz.
Tespit cephesinde, Güvenlik İşlemleri Merkezinizin (SOC) en pentin sırasında kaçırılan kötü amaçlı trafiği belirleyebilmesini sağlamak için Güvenlik Bilgileri Etkinlik Yönetimi (SIEM) aracınızdaki kuralları da gözden geçirmek isteyeceksiniz.
9. Geliştiricilerinizi güçlendirin
Benjamin Franklin, “Bir ons önleme bir kiloluk tedaviye değer” dedi. Geliştiricilerinizin güvenli bir şekilde kodlamaya ve güvenlik açıklarını tanıtmaktan kaçınmak için güçlendirmek, üretimde sorunları yakalamaya çalışmaktan çok daha iyi bir yaklaşımdır.
Güvenlik açığı bulgularını güvenli kodlama eğitimi için bir öğrenme aracı olarak kullanın. Bunlar, kuruluşunuzla alakalı olmayan varsayımsal senaryolar değil, varlıklarınızda bulunan gerçek dünya güvenlik açıklarıdır.
10. Güvenlik açıklarının uygun şekilde düzeltildiğinden emin olun
Geliştiricileriniz güvenlik açığını giderdikten ve düzeltmeyi dahili olarak test ettikten sonra, düzeltmenin başarılı olduğunu doğrulayan harici doğrulama elde etmek de yararlıdır. Tüm Hackerone Pentests, aynı Pentest ekibinin, güvenlik açıklarının artık sömürülememesini sağlamak için 60 güne kadar güvenlik açıklarını tekrar test etmesine izin verir. Yeniden test, 60 günlük dönemden sonra tekrar test başına 50 $ nominal ücret karşılığında da yapılabilir.
Hackeron: Pentesting Partner
Bu ipuçları ve püf noktaları, kuruluşunuzun yaklaşan Pentest Engagations’ından en fazla değeri elde etmenize yardımcı olacaktır. Avantajları hakkında daha fazla bilgi edinin hackerone ile en pentest nişanlarını çalıştırmakveya Bugün Hackerone’deki uzmanlarla iletişime geçin.