[ This article was originally published here ]
Bu yazının içeriği tamamen yazarın sorumluluğundadır. AT&T, yazar tarafından bu makalede sağlanan görüşlerin, konumların veya bilgilerin hiçbirini benimsemez veya desteklemez.
Potansiyel bir davetsiz misafirin taktikleri, teknikleri ve prosedürleri (TTP’ler) prizmasından bir kuruluşun güvenlik duruşunu analiz etmek, kötüye kullanılabilir saldırı yüzeyine ilişkin eyleme dönüştürülebilir içgörüler sağlar. Bu görünürlük, tüm dijital ekosistemin veya katmanlarının savunmasını artırmanın anahtarıdır, böylece veri ihlali olasılığı en aza indirilir. Sızma testi (pentesting) bu alandaki temel mekanizmalardan biridir.
Saldırgan yöntemlerle bir ağın mimarisini zayıf bağlantılar için inceleme ihtiyacı, “çevre güvenliği” felsefesinin ortaya çıkmasıyla birlikte ortaya çıktı. Sızma testi büyük ölçüde boşluğu doldurmuş olsa da, bu yaklaşımın etkinliği genellikle hedeflerinin kabaca anlaşılması ve etik hackerların çalışma ilkeleri tarafından engelleniyor, bu da şirketlerin beklentilerini çarpıtıyor ve ileride hüsrana yol açıyor.
Aşağıdaki hususlar, zaman ve kaynak israfı olmaktan ziyade pozitif güvenlik getirileri sağlayan simüle edilmiş bir siber saldırı düzenlemek için ön koşullar açısından size büyük resmi verecektir.
Terminoloji ile karışıklığı ortadan kaldırmak
Bazı kurumsal güvenlik ekipleri, bir penetrasyon testini kırmızı takım oluşturma, güvenlik açığı testi, hata ödül programları ve yeni ortaya çıkan ihlal ve saldırı simülasyonu (BAS) hizmetleri gibi ilgili yaklaşımlardan ayırt etmekte zorlanabilirler. Pek çok yönden örtüşüyorlar, ancak her birinin kendine özgü özellikleri var.
Esasen, bir pentest, bir saldırganın eylemlerini taklit etmeye kadar uzanan manuel bir süreçtir. Amacı, çevre ve iç altyapının farklı katmanları aracılığıyla bir hedef ağa girmenin en kısa ve en etkili yolunu bulmaktır. Sonuç, sistemin belirli bir zamandaki korumalarının anlık görüntüsüdür.
Bunun aksine, kırmızı ekip oluşturma, bir ağ segmentinin veya bir bilgi / operasyonel teknoloji (IT/OT) sisteminin uzun bir süre boyunca kullanılmasına odaklanır. Daha gizli gerçekleştirilir, gerçek dünya tavizleri sırasında işler tam olarak böyle yürür. Bu yöntem, kritik altyapı varlıklarının merkezinde endüstriyel kontrol sistemlerini (ICS) korumaya yönelik gelişmekte olan bir alan olan , sürdürmek için son derece önemli bir önkoşuldur.
Güvenlik açığı testi ise yazılımdaki kusurları belirlemeyi amaçlar ve bunların nasıl ele alınacağını anlamaya yardımcı olur. Hata ödül programları genellikle mobil veya web uygulamalarıyla sınırlıdır ve gerçek bir davetsiz misafirin davranış modeliyle eşleşebilir veya eşleşmeyebilir. Ek olarak, bir böcek ödül avcısının amacı, sorunu derinlemesine araştırmak yerine bir güvenlik açığı bulmak ve bir ödül almak için mümkün olan en kısa sürede bir rapor göndermektir.
BAS, listedeki en yeni tekniktir. “Tara, yararlan ve tekrarla” mantığını takip eder ve çok az veya hiç insan müdahalesi olmadan testi yürüten araçlara dayanarak daha derin bir otomasyon gündemini zorlar. Bu projeler doğası gereği süreklidir ve ağ genelinde değişiklikler meydana geldikçe sonuçları dinamik olarak üretir.
Genel olarak, sızma testini bitişik güvenlik faaliyetlerinden ayıran iki şey vardır. İlk olarak, insanlar tarafından yapılır ve çoğunlukla manuel saldırı taktiklerine dayanır. İkinci olarak, her zaman keşfedilen güvenlik kusurlarının kapsamlı bir değerlendirmesini ve güvenlik açığı bulunan altyapı bileşenlerinin ne kadar kritik olduğuna bağlı olarak düzeltmelerin önceliklendirilmesini gerektirir.
Pahasına değecek bir penetrasyon testi ekibi seçmek
Bu alandaki şirketlere yaklaşırken hangi faktörlere dikkat edilmesi gerektiğine, pazarlama iddiaları arasında profesyonellerin nasıl bulunabileceğine ve bu sürecin hangi tuzaklara yol açabileceğine yakından bakalım. Kural olarak, aşağıdaki kriterler oyunun adıdır:
- Geçmiş ve uzmanlık. Tamamlanan projelerin portföyü, etik bilgisayar korsanlarının nitelikleri hakkında çok şey anlatıyor. Müşteri geri bildirimlerine ve ekibin sizinle aynı sektörü temsil eden benzer büyüklükteki şirketler için sızma testi yapma geçmişine sahip olup olmadığına dikkat edin.
- Yerleşik prosedürler. Verilerinizin nasıl iletileceğini, saklanacağını ve ne kadar süreyle saklanacağını öğrenin. Ayrıca, pentest raporunun ne kadar ayrıntılı olduğunu ve doğru sonuçlara varmanız için önem dereceleri ve düzeltme adımlarının yanı sıra güvenlik açığı bilgilerinin yeterli kapsamını içerip içermediğini öğrenin. Örnek bir rapor, geri bildirimlerin ve çıkarımların ne kadar kapsamlı olacağı konusunda size daha iyi bir fikir verebilir.
- araç seti. Ekibin ağ protokolü analizörleri, parola kırma çözümleri, güvenlik açığı tarayıcıları ve . Birkaç örnek Wireshark, Burp Suite, John the Ripper ve Metasploit’tir.
- Ödüller ve sertifikalar. Genel olarak tanınan sektör sertifikalarından bazıları arasında Sertifikalı Etik Hacker (CEH), Sertifikalı Mobil ve Web Uygulama Sızma Test Cihazı (CMWAPT), GIAC Sertifikalı Sızma Test Cihazı (GPEN) ve .
Uyarı, bu faktörlerin bazılarının resmileştirilmesinin zor olmasıdır. İtibar kesin bir bilim değildir, uzmanlık da geçmiş projelere dayalı değildir. Tek başına sertifikalar, gerçek hayattaki güvenlik denetimlerinde bilenmiş bir beceri seti bağlamı olmadan pek bir anlam ifade etmez. Ayrıca, birinin popüler sızma testi araçlarını kullanma konusundaki yeterliliğini ölçmek zordur. Yine de bir araya getirildiğinde, yukarıdaki kriterler sizi seçim konusunda doğru yöne yönlendirebilir.
“Kurum içi ve üçüncü taraf” ikilemi
Bir kuruluş kendi başına sızma testleri yapabilir mi veya yalnızca üçüncü taraf bir kuruluşun hizmetlerine güvenebilir mi? Bir şirketin güvenlik ekibi tarafından gerçekleştirilen sızma testlerindeki temel sorun, denetlenen altyapıya ilişkin görüşlerinin bulanık olabilmesidir. Bu, uzun süre aynı rutin işlerle uğraşmanın bir yan etkisidir. Siber güvenlik yetenek açığı, bazı kuruluşların basitçe sızma testlerini verimli bir şekilde yapabilecek kalifiye uzmanlardan yoksun olması nedeniyle bir başka engeldir.
Bu engelleri aşmak için, periyodik olarak harici sızıntı testçilerinin dahil edilmesi önerilir. Tarafsız bir değerlendirme sağlamanın ve çıkar çatışmasına yer bırakmamanın yanı sıra, üçüncü taraf profesyoneller genellikle sızma testi için daha donanımlıdır çünkü ana odak noktaları budur. Çalışanlar, güvenlik ufuklarını genişletecek ve ileriye dönük becerilerini geliştirecek olan yükleniciler ile iş birliği yaparak bu süreçte rol oynayabilir.
Sızma testi: ne kadar süreyle ve ne sıklıkta?
Bir sızma testinin süresi, hedef ağın amaçlarına ve boyutuna bağlı olarak genellikle üç hafta ile bir ay arasında değişir. Saldırı yüzeyi nispeten küçük olsa bile, potansiyel giriş noktalarının kapsamlı bir analizi için fazladan zaman harcamak gerekebilir.
Garip bir şekilde, bir müşteri ile bir güvenlik hizmetleri sağlayıcısı arasında bir sözleşme hazırlama süreci, pentest’in kendisinden daha fazla zaman alabilir. Uygulamada, çeşitli onaylar iki ila dört ay arasında sürebilir. Müşteri şirket ne kadar büyükse, üstesinden gelinmesi gereken bürokratik engeller de o kadar fazladır. Yeni başlayanlarla çalışırken, proje onay aşaması çok daha kısa olma eğilimindedir.
İdeal olarak, hedef uygulama güncellemelerden geçtiğinde veya BT ortamına önemli bir değişiklik getirildiğinde sızma testleri yapılmalıdır. Bir şirketin güvenlik duruşunun geniş bir değerlendirmesi söz konusu olduğunda, sürekli sızma testi gereksizdir – genellikle bu tür bir analizi yılda iki veya üç kez gerçekleştirmek yeterlidir.
Pentest raporu, zamanında kararlar için bir veri altın madeni
Bir penetrasyon testinden alınacak dersler, yalnızca sistemde bulunan güvenlik açıkları ve yanlış yapılandırmaların listesini değil, aynı zamanda bunları düzeltme yollarına ilişkin önerileri de içermelidir. Bazı şirketlerin beklentilerinin aksine, bunlar oldukça genel ipuçları olma eğilimindedir, çünkü tüm sorunları çözmek için ayrıntılı bir yol haritası müşterinin iş modeline ve dahili prosedürlere daha derin bir dalış gerektirir ki bu nadiren olur.
Yönetici özeti, testin kapsamını, keşfedilen riskleri ve potansiyel iş etkisini ana hatlarıyla belirtir. Bu bölüm öncelikle yönetime ve paydaşlara yönelik olduğundan, teknik olmayan kişilerin anlaması kolay olmalıdır. Bu, saldırganlar güvenlik açıklarını istismar etme şansı bulamadan güvenlik açıklarını kapatmak için yeterince hızlı bilinçli stratejik kararlar almak için bir temeldir.
Alıştırma sırasında ortaya çıkarılan her güvenlik açığının açıklaması, gibi bir önem puanlama sistemine göre olasılık ve potansiyel etkisinin bir değerlendirmesi ile birleştirilmelidir. En önemlisi, bir kalite raporu sadece “Ne yanlış?” sorusuna değil, “Ne yapmalı?” sorusuna da net bir cevap vermelidir. Bu, belirli bir güvenlik kusurunun üstesinden gelmek için birden fazla uygulamalı seçeneğin önerildiği düzeltme tavsiyesi anlamına gelir. Yönetici özetinden farklı olarak, bu bölüm kuruluştaki BT çalışanlarına yöneliktir, bu nedenle çok sayıda teknik ayrıntıya girer.
Alt çizgi
Etik bilgisayar korsanları, çevre giriş noktasından dijital altyapıdaki belirli varlıklara kadar potansiyel bir davetsiz misafirin yolunu izler. Bu strateji yalnızca güvenlik açıklarını ortaya çıkarmakla kalmaz, aynı zamanda bunları çözme yollarına da ışık tutar.
Ne yazık ki, çok az kuruluş güvenlik duruşlarını proaktif olarak değerlendirmek için bu yolu kullanır. Çoğu bunu bir kontrol listesi uğruna, genellikle düzenleyici gerekliliklere uymak için yapar. Bazıları gerçek dünyadan bir ihlal gerçekleşene kadar zahmet etmez. Bu zihniyetin değişmesi gerekiyor.
Elbette, bir ağın güvenlik durumunu takip etmenin alternatif yöntemleri vardır. , Güvenlik Düzenleme, Otomasyon ve Yanıt (SOAR) ve güvenlik açığı tarayıcıları birkaç örnektir. Sektör ayrıca, tehdit algılama ve analizinin doğruluğunu artırmak için yapay zeka ve makine öğrenimi modellerini giderek daha fazla benimsiyor.
Yine de sızma testi, siber güvenlik ekosisteminde bir statükoyu koruyor. Bunun nedeni, hiçbir otomatik aracın bir saldırgan gibi düşünememesi ve insan dokunuşunun herhangi bir koruma vektörünü kurumsal karar alıcılar için daha anlamlı hale getirmesidir.
reklam