En büyük kontrol listesi serimizin 1. Bölümünde, Pentesting’in temel yönlerini araştırdık-en penterinizin sadece uyumluluk standartlarını karşılamakla kalmayıp aynı zamanda güvenlik portfolünüzde stratejik bir varlık olarak da hizmet vermesini sağlamak için “ne” ve “neden” üzerine odaklanıyoruz. Bölüm 2’de, “When”, “Kim” ve “Nasıl”, size yapılandırılmış bir kontrol listesinde rehberlik ederek, sizi kuruluşunuzun benzersiz ihtiyaçlarına ve güvenlik hedeflerine göre tasarlanmış bir pent en başlamak için gereken bilgilerle donatırız. .
- Pentest’in ne zaman başlamasını ve sonuçlandırmasını bekliyorsunuz?
- Son rapora ne zaman ihtiyacınız var?
- Ekibinizin en Pent en Pents sürecine katılması için en iyi zaman ne zaman?
- Kim en pantil inisiyasyon, ilerleme ve bulgular hakkında bilgilendirilmelidir?
- Pentesting ekibi için birincil temas noktası kim olacak?
- Kuruluşunuz içinde kim bulguları ele almaktan sorumlu olacak?
- Satıcı sizinle en Pent en önce, sırasında ve sonrasında sizinle nasıl iletişim kuracak?
- Pentesters kapsam içi varlıklara nasıl erişecek?
- Son çıktılar sizinle nasıl paylaşılacak?
“Ne zaman?”
1. Pentest’in ne zaman başlamasını ve sonuçlandırmasını bekliyorsunuz?
Tanımlanmış zaman çizelgeleri, özellikle bir pentest daha geniş bir risk yönetimi stratejisinin bir parçası olduğunda ve sonraki projeleri etkilediğinde, son tarihleri karşılamak için çok önemlidir.
2. Son rapora ne zaman ihtiyacınız var?
Önceki soruya benzer bir notta, nihai rapor için karşılamak için satıcıyı mümkün olan en kısa sürede bilgilendirmek önemlidir. Son raporu Pentest’in sonucundan itibaren bir hafta içinde paylaşmak standarttır.
3. Ekibinizin Pentest’e katılması için en iyi zaman ne zaman?
Pentests zamana bağlıdır; Bu nedenle, tüm anahtar ve ilgili ekip üyelerinin mevcut olmasını sağlamak, piyasaya sürülmeden önce ve Pentest sırasında herhangi bir soruya ayıracak ve derhal yanıt vermek için zamana sahiptir.
“DSÖ?”
1. En Pentest hakkında kim bilgilendirilmelidir?
Düşük profili korumak, kırmızı bir ekip katılımında olduğu gibi birincil bir hedef değilse, kuruluşunuzun savunucularını yaklaşan bir penetrasyon testi hakkında bilgilendirmeniz tavsiye edilir. Bu, yetkili bir penetrasyon testi tarafından üretilen trafikten ziyade gerçek tehditlere odaklanmalarını sağlayacaktır.
Pentesting ekiplerinin Test IP adreslerini paylaşması yaygındır, böylece kuruluşunuzun Güvenlik Operasyon Merkezi (SOC) ekipleriniz gibi altyapısını koruyan uygun kişileri bilgilendirebilirsiniz. Bu bekleniyor, bu yüzden Pentesting ekibinden onlar istemekten çekinmeyin.
2. Pentesting ekibi için birincil temas noktası kim olacak?
Bir kişinin bu rol için belirlenmesi, sürecin verimliliğini önemli ölçüde artırabilir ve en çirkin boyunca işbirliğini artırabilir.
Bu kişinin test edilen ürün veya varlığın konu uzmanı (KOBİ) olması tercih edilirse de, zorunlu değildir. Pentesters’ın kapsam içi varlıklar ve farklı bileşenlerin nasıl etkileşime girdiği ve cevaplara sahip değillerse, cevapları almak için kuruluş içinde kiminle iletişime geçeceklerini bilmeleri gereken soruları ele almaktan sorumlu olacaklar.
Ayrıca, kritik veya yüksek şiddetli bir kırılganlığın keşfedilmesi durumunda pentesterler için bir yükselme noktası olarak hizmet edebilirler.
3. Kuruluşunuz dahilinde kimler bulguları ele almaktan sorumlu olacak?
Test edilen varlıktan sorumlu ürün sahiplerinin ve ekiplerin belirlenmesi, Pentest sırasında bildirilen güvenlik açıklarını, özellikle de hemen dikkat gerektiren kritik ve yüksek şiddetli olanları ele almak için çok önemlidir.
“Nasıl?”
1. Satıcı sizinle en pahalı önce, sırasında ve sonrasında sizinle nasıl iletişim kuracak?
Açık iletişim kanalları oluşturmak ve herhangi bir Pentester soruına derhal yanıt vermek, seçtiğiniz Pentest satıcısıyla başarılı bir deneyim için hayati önem taşır.
Bu, Pentest’e katılan üyeler arasında hızlı sohbet için gevşek kanallar oluşturmak kadar basit ve verimli olabilir. Bu, bir pentest ekibi ile en etkili iletişim şekli ve Pentesting ekiplerini Hackerone’deki müşterilerle nasıl bağladığımızdır. Slack iletişim, kullanılabilirliğe bağlı olarak hem senkron hem de eşzamansız olabilir ve belgelenmiş bir zaman çizelgesi sağlar. E -postalar devam ederken yavaş bir iletişim aracı olabilir ve telefon görüşmeleri kullanılabilirlik ve zamanlama sınırlamalarına katılır.
2. Pentesters, kapsam içi varlıklara nasıl erişecek?
Pentesters’ın Pentest’in 1. gününde koşarak yere çarpabilmesi çok önemlidir; Bu nedenle, kapsam içi varlıklara başarılı bir şekilde erişebileceklerini doğrulamak çok önemlidir.
- Varlıklar internete bakan mı yoksa sadece dahili mi?
- Mobil uygulamalar kendi mağazalarında mevcut olacak mı? Alternatif olarak, TestFlight aracılığıyla mı yoksa .APK dosyası olarak mı sunulacaklar?
- Pentesters’ın varlıklara bağlamak ve erişmek için bir VPN’ye ihtiyacı var mı?
- IP adreslerini çevre cihazlarınızdaki bir izin listesine eklemeniz mi gerekiyor?
- Test etmek için kimlik bilgilerine ihtiyaç duyacaklar mı? Bunlar nasıl sağlanacak?
3. Nihai çıktılar sizinle nasıl paylaşılacak?
Şimdi, bunun nasıl gerçekleştiği konusunda çok dikkatli olalım. Nihai rapor olarak e -posta üzerinden korunmasız bir PDF almak istemezsiniz.
Raporun sizinle güvenli bir şekilde paylaşıldığından emin olun. Satıcıların bunları paylaştığı bilinmektedir:
- Erişebileceğiniz ve indirebileceğiniz güvenilir Pentest platformlarında ağırlayın.
- SADECE KONUTLANMIŞ GÜVENLİ DOSYA PRANTİFİ üzerinde kararlaştırılmış bir Dosya Platformu kullanın.
- Parola korumalı bir PDF, şifrenin bant dışı paylaşıldığı e-posta veya diğer iletişim kanalları üzerinden gönderilir.
Çözüm
Serimizin 2. Bölümünü sonuçlandırdığımız gibi, en pentest’in güvenlik açıklarını tanımlamak ve ele almak ve nihayetinde kuruluş için riski azaltmak için değerli bir araç olabileceği açıktır. Bununla birlikte, boşa harcanan kaynaklardan ve kaçırılan fırsatlardan kaçınmak için daha yeterli hazırlık olması gerekir.
2 bölümlük serimizde ortaya koyduğumuz soruların cevaplarıyla hazırlanmak, ilgili herkes için sorunsuz, başarılı ve kapsamlı bir deneyim sağlayabilir.
Hackerone Pentest’in Verimliliği
Hackerone Pentest, Hizmet (PTAAS) model olarak Pentest’imiz aracılığıyla geleneksel pentesting’de devrim yaratıyor. Bu PTAAS yaklaşımı, her zamankinden daha hızlı, ilgili tüm taraflar arasında sorunsuz iletişim ve takip edilmesi kolay iyileştirme adımları ve gösterilen uyumluluk ile kapsamlı raporlama başlatmanıza rehberlik eden kapsamlı bir kapsam formu sağlar.
Müşteriler, her bir güvenlik testi katılımındaki test deneyimini geliştirmek için operasyonel verimliliği uzman teknik katılım yöneticileri (TEMS) tarafından eşsiz destekle birleştirerek en çirkin süreçlerini hackerone ile basitleştirir.
Bir sonraki adımı atmaya hazır mısınız? Pentesting gereksinimlerinizi bizimle paylaşın ve uzmanlarımızın güvenlik hedeflerinizle uyumlu bir strateji uyarlamasına izin verin.