Katılımcılar canlı olarak yanıtladılar ve Quora, Reddit ve LinkedIn gibi popüler topluluk platformlarından özenle seçilmiş soruları yanıtladılar. Aşağıda soru kategorilerine hızlı bir bakış verilmiştir:
- Pentest İçgörüleri, Deneyimleri ve Teknik Yönleri
- Pentester’lar ve bug bounty araştırmacıları arasındaki farklar
- Topluluk odaklı güvenlik testi çözümlerinin artıları ve eksileri
- Pentest sonuçlarının öneminin anlatılması
- Hata ödülü rekabeti ve pentest işbirliği
- Sızma testinde manuel ve otomatik süreçler
- Sektör Trendleri ve Sızma Testinin Geleceği
- İleride ne var
- Üretken yapay zeka ve Makine Öğreniminin bilgisayar korsanlığı ve sızma testi üzerindeki etkisi
Topluluk odaklı pentestin faydalarını geleneksel modellerle karşılaştırıyorsanız veya sadece pentestingde gelişen trendler hakkında daha fazla bilgi edinmek istiyorsanız, uzman pentest uzmanlarımızın aşağıdaki orijinal Soru-Cevap formatındaki görüşlerinden bazılarına göz atın veya aşağıdaki videoyu izleyin. -Detaylı tartışmalarını ve profesyonel tavsiyelerini dinlemek için kayıt talep edin.
HackerOne Sızma Testçileriyle Tanışın
Peter M. (@pmnh)
Peter, güvenlik alanında üç yıldan fazla deneyime ve yazılım ve mühendislik liderliği rollerinde lider geliştirici/mimar olarak 20 yıldan fazla deneyime sahip, tam zamanlı bir etik hacker/pentester’dır. Peter, HackerOne’da çok sayıda başarılı sızma testi ve kaynak kodu incelemesi gerçekleştirerek, amiral gemisi programlarındaki yüksek/kritik güvenlik açıklarını tutarlı bir şekilde tespit etti.
Pranit G. (@rootsploit)
Pranit Garud, sızma testi, kırmızı ekip oluşturma, uygulama güvenliği, güvenlik açığı araştırması ve saldırı yüzeyi yönetimi dahil olmak üzere saldırı güvenliğinin çeşitli alanlarında yedi yıldan fazla özel deneyime sahip deneyimli bir Güvenlik Mühendisi ve Hata Ödül Avcısıdır. Kanıtlanmış bir performans geçmişine sahip olan Pranit, Fortune 500 şirketleri de dahil olmak üzere sektör lideri kuruluşlarla işbirliği yaparak bu kuruluşların güvenlik duruşunu önemli ölçüde geliştirmiştir.
Erfan F. (@mico02)
Erfan, Amerika Birleşik Devletleri ve Birleşik Krallık’ta finans, sağlık, ulaşım ve teknoloji sektörlerindeki kuruluşlarla ortaklık yapma konusunda kapsamlı bir geçmişe sahip, tecrübeli bir Güvenlik Danışmanıdır. Erfan, profesyonel alanının dışında hevesli bir böcek avcısıdır ve bu titiz uygulama sayesinde pentest becerilerini geliştirmektedir.
Juan L. 
Juan on yıldan fazla bir süredir bilgi güvenliği sektöründe çeşitli pozisyonlarda görev yapıyor. Sektöre test uzmanı olarak başladı ve zamanla müşteri desteğine geçti. Juan, birkaç yıllık müşteri desteğinden sonra Proje Yönetimine geçti ve Teknik Proje Yöneticisi olarak görev yaptığı HackerOne’a gelmeden önce Teknik Proje Yöneticisi oldu.
Pentest İçgörüleri, Deneyimleri ve Teknik Yönleri
S: Bir pentester’ın sahip olabileceği en önemli beceri nedir?
Erfan: “Yaşam boyu öğrenen bir tutum olduğunu söyleyebilirim. Siber güvenlik alanı çok hızlı gelişiyor. Yeni teknikler, hatalar, sömürü yöntemleri; bunların hepsi oldukça hızlı gelişiyor. Kendinizi yetiştirme sorumluluğunu üstlenmeli ve sektörün öğrencisi olmalısınız. Bu öğrenme süreci hiçbir zaman bitmez. Ve eğer kendinizi güncel tutmazsanız, temelde modası geçmiş olursunuz, çünkü becerileriniz en son ve en büyük hataları tespit edemeyecektir.”
S: Pentester’ların ve hata ödülü araştırmacılarının çalışma şekilleri arasındaki farklar nelerdir?
Peter: “Genellikle benzer ancak farklı sorunları çözüyorlar. Bir pentest ile daha fazla titizlik elde edeceksiniz. Çoğu pentester’ın birçok farklı güvenlik açığı kategorisini kapsadığından emin olmak için oldukça resmi bir kontrol listesi vardır. Hata ödülü genellikle daha açık uçludur. Program kapsamında dilediğiniz şeyin peşinden gidebilirsiniz.
Gözlemlediğim diğer önemli fark, pentestlerin test edilen uygulamaya açık hata ödül programından daha fazla veya daha derin erişime sahip olmasıdır. Dahili uygulamaları veya kimliği doğrulanmış uygulamaları test edeceksiniz. Geçenlerde HackerOne için bir beyaz kutu sızma testi yaptım; burada denetlenecek uygulamanın kaynak kodu bize verildi; bu, açık kaynak türü araştırmalar dışında hata ödülünde çok nadiren bulabileceğiniz bir şey. Bir müşteri olarak bu test modlarından farklı sonuçlar elde edeceksiniz.”
S: Daha geleneksel çözümlerin aksine, siber güvenliğe yönelik kitle kaynaklı çözümler kullanmanın artıları ve eksileri nelerdir?
Pranit: Geleneksel bir sızma testi durumunda, bir satıcıyı işe alırsınız, satıcıyı incelersiniz, satıcının belirli becerilere veya yetenek havuzuna sahip olduğunu görürsünüz ve ardından belirli bir kapsam için onlarla iletişime geçersiniz. Kapsam her değiştiğinde, sızma testinin bütçesi de değişebilir. Başka bir web uygulaması veya mobil uygulama eklemek isterseniz değişir. Mali açıdan bakıldığında cebinize oldukça ağır gelebilir.
Kitle kaynaklı çözümler söz konusu olduğunda, bir tedarikçiniz olduğunda yetenek havuzunu alacaklar ve insanları görevlendirecekler. Belirli hata ödül programınızda yalnızca deneyimli bilgisayar korsanlarının olmasını istediğinizi söylerseniz, satıcı, bilgisayar korsanlarını belirli ölçümlerle inceleyecek ve onlara atayacaktır. Kitle kaynak kullanımıyla çeşitli becerilere sahip olacaksınız, uygun maliyetli olacak ve daha geniş bir kapsamı kapsayabileceksiniz.”
S: Web uygulaması güvenliğinin önemini yöneticilere ve yönetim kurulu üyelerine nasıl aktarıyorsunuz?
Peter: Raporlarınızı tüketen kişilerin, sizin sahip olduğunuz derin teknik deneyime sahip olmayabilecek yöneticiler ve idareciler olduğunun farkına varmalısınız. Yaptığınız şeyi nasıl yaptığınıza ilişkin teknik ayrıntılar, düzeltme amacıyla önemlidir, ancak aynı zamanda bir güvenlik açığının iş üzerindeki etkisini de açıklayabilmeniz gerekir. Bir saldırgan ne yapabilir? Bir saldırganın işletmeyi etkilemesi ne kadar kolay? Bir güvenlik açığının etkisini iletebilmek, onu düzeltmek için mühendislik parası elde etmenizi sağlayacaktır.
S: Avcıların yararlı bilgileri diğer araştırmacılarla paylaşmadan ödülü alan ilk kişi olmaya çalışması nedeniyle hata ödülü, sızma testinden daha rekabetçi olmaz mıydı?
Peter: Hata ödülü sayesinde evet, yaptığınız çoğu şey tek başınıza olacak. Ancak böcek ödülüyle ilgili sevdiğim şeylerden biri de harika bir topluluğun olması. Topluluk içinde bağlantı kurmanın ve başkalarıyla işbirliği yapmanın Discord sunucuları, Twitter/X ve başka birçok yolu var. ‘Bu program üzerinde çalışıyorum’ diye sorabilirim. Buna aşina olan var mı? Bulduğum bu sorun üzerinde işbirliği yapmak ister misiniz?’ Dışarıda sizinle aynı soruları paylaşan ve size yardımcı olmaktan mutluluk duyan birçok insan var.
Erfan: Pentestlerin bir yeri vardır ve hata ödüllerinin de bir yeri vardır. Gördüğüm iş, aşağıda asılı olan tüm meyveleri bulmak için belirli bir uygulama üzerinde bir sızma testi yapmaktır. Daha sonra onu dış dünyaya ittikten sonra, bulmacanın parçaları arasındaki çatlakları bulmak için hata ödül metodolojilerini kullanırsınız. Paylaşım araçları ve teknikleri konusunda, pentestlerde daha fazlasını paylaşmaya çalışıyoruz ve evet, hata ödülleri daha rekabetçi olabilir ancak bunlar birbirlerine hizmet eder.
S: Sızma testinde ne kadar manüel ve otomatik çalışma yapıyorsunuz?
Peter: Geçmişim göz önüne alındığında ve kullanıma hazır tipik otomatik taramadan gördüğüm ortalamanın altında sonuçlar göz önüne alındığında, çoğunlukla manüel davranıyorum. Bir insan pentester’a sahip olmanın değeri, bu insan bilgisini sızma testine uygulamaktır – iş işlevselliğinin derinliklerine inmek ve otomatik bir aracın sezemeyeceği belirsiz test senaryolarını gerçekten derinlemesine araştırmak. İşte gerçekten etkili, elde edilmesi zor hataları bulacağınız yer burasıdır.
S: Pentest sonuçlarını raporlamanın en etkili yolları nelerdir? Ve tanınmış bir metodolojiyi takip etmenin önemi nedir?
Erfan: Sonuçları raporlamanın en etkili yolu: bilgilendirmeler. Test yapıldıktan sonra müşterilerle toplantı yapmak, olup biteni aktarmanın en etkili yoludur. Pek çok farklı ekipten çok sayıda rapor alıyorlar; onlara göre her şey yanıyormuş gibi görünüyor. Bu nedenle, pentesti talep eden ekibin bunun için doğru parayı almasına yardımcı olmak için bulduğunuz şeyin etrafında bir dava açmalısınız.
Ne yazık ki tecrübelerime göre pek çok müşteri bilgi talep etmiyor. Ücretsiz. Teklif edildi. Lütfen devam edin. İyi bir dava açmanıza ve sızma testini anlamanıza yardımcı olacak.
Sızma testi metodolojisini takip etmek neden önemlidir? Standartlaştırmanın ve tutarlılığın bir yolunu bulmamız gerekiyor. İşte bu yüzden bir metodolojimiz olmalı. Her pentester’ın minimum düzeyde takip ettiği bir kontrol listemiz var. Son olarak yasal ve uyumluluk yönleri vardır. Bazı standartlar, sızma testlerinin belirli bir şekilde yapılmasını gerektirir.
Sektör Trendleri ve Sızma Testinin Geleceği
S: Pentestin geleceği nasıl görünüyor? Önümüzdeki birkaç yılda sektör nereye gidiyor?
Pranit: Pentest açısından bu gerçekten geliştirme ekiplerine bağlıdır. Yeni bir ürün ya da yeni bir teknoloji çıkıyorsa o alanın güvenliğini sağlama zorunluluğu vardır. Örneğin Bitcoin ilk ortaya çıktığında blockchain pek bilinmiyordu ancak son zamanlarda güvenlik ihtiyacının artmasıyla birlikte blockchain üzerine birçok proje yapılmaya başlandı. Sonuç olarak pentesterların her zaman farklı şeyler öğrenmesi gerekir.
S: Üretken yapay zeka bilgisayar korsanlığını nasıl değiştirdi? Sızma testi için yapay zeka ve makine öğrenimi kullanılabilir mi?
Pranit: Yapay zeka ve makine öğrenimi siber güvenlik alanına yabancı değil. Tek soru, bunu pentest’te nasıl daha iyi kullanabileceğimizdir. Kendi ML modelleriyle çıkan birçok şirket var. AI ve ML’nin çalışma şekli, öncelikle modelleri önceden ayarlanmış verilere göre eğitmenizdir. Dolayısıyla, kendi örneğinizi dağıtırsanız, güvenlik amaçları ve sızma testleri için AI ve ML’den nasıl yararlanacağınız hakkında daha fazla bilgi edinebilirsiniz.
Peter: Bu teknolojilerin kendi güvenlik açıkları sınıfları vardır ancak bunlar aynı zamanda diğer dahili API’leriniz ve veri kaynaklarınızla da entegredir. Güvenlik açıklarının ve temeldeki API’lerin makine öğrenimi veya sohbet robotu türü etkileşim yoluyla açığa çıkması çok yaygındır. Bunlar daha büyük bir ekosistemin parçasıdır ve yalnızca özel teknolojilere değil, ekosistemin tamamına ve güvenlik profiline baktığınızdan emin olmanız gerekir.
Güvenlik Programınızı HackerOne Sızma Testi ile Tamamlayın
HackerOne Pentest’in üst düzey güvenlik ve sızma testi uzmanlığından yararlanarak ve bunu devam eden sızma testlerine ilişkin gerçek zamanlı bilgiler sunan ve başlangıçtan düzeltmeye kadar temel ölçümleri izlemenize olanak tanıyan bir platformla birleştirerek işletmeleri nasıl koruduğunu keşfetmekle ilgileniyor musunuz?
Pentestin kuruluşunuzun özel ihtiyaçlarını ve hedeflerini karşılayacak şekilde nasıl özelleştirilebileceğini daha iyi anlamak için isteğe bağlı ürün demomuzu görüntüleyin veya HackerOne’ın pentest uzmanlarıyla bugün iletişime geçin!