Pentesting onlarca yıldır var, ancak diğer güvenlik uygulamalarının sahip olduğu devrimden geçmedi. Kuruluşlar, markalarını ve müşterilerini gerçekten koruyan bir şeyden ziyade, uyum için sadece “kutu kontrol” için bir araç olarak pentest yapmaya güvenme eğilimindedir.
Geleneksel pentest etkileşimleri yavaştır, aşırı bant genişliği alır ve etkili sonuçlar vermeyin. Bu blogda, organizasyonların pentest’leriyle yaptıkları ortak hatalara bakacağım ve Pentester topluluğunun gücünü ve bir Hizmet (PTAAS) platformu olarak en pentest’in verimliliğinden nasıl yararlanarak Pentesting’in kuruluşunuza gerçek değer katabileceğini göstereceğim.
SORUN 1: Beraberlikler Deneyimsizdir
Müşteriler bana geleneksel satıcılarla olan deneyimlerinden bahsettiklerinde, genellikle deneyimli pentesterlerden oluşan bir ekib alamadıklarından bahsediyorlar. Çoğu zaman, daha fazla deneyime sahip daha kıdemli bir pentester ile çalışan sınırlı deneyime sahip genç pentesterlerden oluşan bir takım alırlar. Sonuç olarak, kıdemli pentester zamanlarını test, öğretim ve raporlama arasında bölmek zorunda kalır ve müşteri tam değeri almaz.
Hackerone Pentesters, topluluğumuzun topluluk ekibimiz tarafından elle seçilen ve incelenen seçkin bir alt kümesidir. Veteriner sürecinin bir parçası olarak, topluluk ekibi geçmiş profesyonel en penting deneyimlerini, diğer hackerone programlarındaki performanslarını, sertifikalarını ve diğer kimlik bilgilerini değerlendirir. Pentesters’ımız için koruduğumuz yüksek standartlar nedeniyle, Topluluğumuzun% 65’i Pentesting konusunda 5 yılı aşkın deneyime sahiptir. Bu, müşterilerimizin her pentest ile deneyimli, kimlik bilgileri olan test uzmanları aldığı anlamına gelir.
Sorun 2: Pentesting çok kontrol listesine dayalı
Pentesting, doğa tarafından yönlendirilen metodoloji odaklıdır, ancak çoğu zaman geleneksel en pentent firmaları, bir kontrol listesinden geçmeye odaklanmıştır. En penting topluluğumuzun çoğu da böcek ödül programlarına katıldığından, gerçek dünya düşmanı gibi düşünmeye ve suçlular yapmadan önce sistemlerinizdeki bulması zor güvenlik açıklarını belirlemeye alışkındırlar. Ayrıca, Hackerone Pentest metodolojisi için bütçelenen zamanın yanına gitmesi için yapılandırılmamış test süresini bütçeleyerek bu yaratıcılığı teşvik ediyoruz.
Sorun 3: Sınırlı yetenek havuzu
Müşteriler, test ettikleri varlıklara yeni bir bakış açısı elde etmek için geleneksel pentest satıcılarını döndürmeye alışkındır. Bunun nedeni, bu satıcıların tipik olarak derin bir yetenek tezgahı olmamasıdır, yani yeni bir bakış açısı elde etmenin tek yolu başka bir satıcı getirmektir. Bununla birlikte, diğer satıcıları getirmek, güvenlik ekibinin onları devreye almak için zaman harcaması ve ürünlerinin güvenliğini artırmaya odaklanmaları gerektiği anlamına gelir.
Hackerone’un topluluk modeli nedeniyle, bankımızda yüzlerce pentester var. Bu, müşterilerimizin başka bir satıcıya dahil edilmeye gerek kalmadan yeni bir perspektif elde etmek için pentesterleri döndürebileceği anlamına gelir. Pentesterlerimiz arasında yeteneklerin derinliği ve genişliği nedeniyle, birçok farklı varlık ve güvenlik açığı sınıfı arasında geniş bir deneyime sahiptirler. Bu, kısa sürede müşterimizin testleri için doğru yeteneği sağlayabileceğimiz anlamına gelir. Pentesting için deneyimli güvenlik araştırmacılarından yararlanarak, Hackerone Güvenlik Açığı Bulgularının% 20’si yüksek veya kritik bir ciddiyettirsektör standardının kabaca iki katı.
Sorun 4: Sonuçlara yavaş zaman
Kuruluşlar genellikle bir pentest programını başlatmak ve somut sonuçlar almak için alabileceği zamandan dolayı hayal kırıklığına uğrarlar.
Güvenlik açıklarını tanımlamak ve bildirmek için gereken süre, pentestin en yaygın şikayetlerinden biridir. Endüstri standardı pentests, en Pentest’in sonuçları bir araya getirip müşteriye teslim etmesi sonucuna vardıktan en az iki hafta sürer. Hackerone’un Pentests ile:
PTAAS platformumuz nedeniyle, müşteriler de bu güvenlik açığı bulgularını gerçek zamanlı olarak alırlar. Bu, çoğu zaman kırılganlığı giderdikleri ve en Pentest’in sonuçlandırdığı zamana kadar tekrar test ettikleri anlamına gelir.
Sorun 5: Süreç boyunca görünürlük yok
Pentesting’in bir başka tutarlı eksikliği, gerçek zamanlı aktivite ve sonuçlara görünürlük eksikliğidir. Birçok kuruluş, performansı görüntülemek ve pentesters ile iletişim kurmak için merkezi bir yere erişimi yoktur.
Pentesters topluluğumuz bulgularını Hackerone PTAAS platformunu kullanarak rapor ediyor. Platform, müşterilerimize her pentest’in ilerlemesine gerçek zamanlı görünürlük kazandırır, böylece bir Pentest’in herhangi bir zamanda nerede olduğunu anlarlar. Müşteriler ayrıca, kapsamdan test etmekten test ve raporlamaya, iyileştirmeye kadar platform aracılığıyla en çirkin nişanlarının tüm yönlerini yönetir. Bu, müşterilerimizin hızlı bir şekilde bir pentest başlatmasını çok kolaylaştırır, çünkü hepsi ileri geri e-postalar yoluyla koordine etmek yerine platformdan çıkmıştır.
Sorun 6: Pentesters ile iletişim eksikliği
Geleneksel bir Pentest, test boyunca gerçekleşen çok az iletişim olması anlamında bir kara kutu olma eğilimindedir. Test başlar ve birkaç hafta boyunca çalışır, sonuçlanır ve ardından bir rapor bundan birkaç hafta sonra verilir.
Hackerone’un en pent en pentiyle, kuruluşlarının pentestlerinden sorumlu olanlar, hem çatı katları hem de en pentest’i yöneten teknik katılım yöneticilerimizle Slack aracılığıyla doğrudan bir iletişim hattına sahiptir. Pentest ekibinizden düzenli durum güncellemeleri alırsınız ve açık iletişim, testlerin verimli bir şekilde çalışmasına yardımcı olur.
Problem 7: Pentesting iyileştirme ile entegre değil
Pentesters ile aerodinamik bir platform ve iletişim ile bile, sonuçlar sadece bir kuruluşun güvenlik açıklarını hızlı ve verimli bir şekilde ele alma yeteneği kadar iyidir. Bu, devam eden araçlara ve süreçlere düşünceli entegrasyonlar gerektirir.
Biletleme sistemleri ve diğer SDLC araçlarıyla entegre etmek isteyen kuruluşlar için platform, daha fazlasını eklemek için 20’den fazla çift yönlü, amaca yönelik entegrasyon ve API’ler sunar. Bu, iyileştirme sürecini kolaylaştırmaya yardımcı olur- bir PDF raporundan güvenlik açıklarını bir düzeltme için geliştirme ekibinize götürmek için kopyalama ve yapıştırma!
PTAA’ların rahatlığını en pentest topluluğunun gücüyle birleştirin
Pentester topluluğumuzun güvenlik uzmanlığını PTAAS platformumuzun verimliliği ile birleştirmek, saldırı yüzeyinizde tehdit maruziyetini azaltır. Belki de en önemlisi, müşterilerin yetenekli pentesterlerimizle çalışmaktan kaynaklanan doğrudan katılım ve pratik bilgiye gerçekten değer verdiğini görüyoruz. Çok etkileşimli ve şeffaf bir süreç olduğu için güvenlik ekiplerine enerji verir ve eğitir.
Pentester’larımızın en pentest programınızı veya daha geniş güvenlik programınızı nasıl yükseltebileceğini görmek istiyorsanız, HackerOne’daki ekibe ulaşın.