Pentest Öncesi Kontrol Listesi [9 Questions to Ask]

   Aralık 7, 2024  Posted in Mix


Pentest Öncesi Kontrol Listesi Serimizin 1. Bölümünde, pentestinizin yalnızca uyumluluk standartlarını karşılamasını değil aynı zamanda güvenlik portföyünüzde stratejik bir varlık olarak hizmet etmesini sağlamak için “ne” ve “neden” sorularına odaklanarak pentestin temel yönlerini araştırdık. Bölüm 2’de, “ne zaman”, “kim” ve “nasıl” konularına atlayarak, kuruluşunuzun benzersiz ihtiyaçlarına ve güvenlik hedeflerine göre uyarlanmış bir sızma testi başlatmak için gereken bilgileri sağlayacak şekilde yapılandırılmış bir kontrol listesi boyunca size yol göstereceğiz. .

  1. Sızma testinin ne zaman başlayıp sonuçlanmasını bekliyorsunuz?
  2. Nihai rapora ne zaman ihtiyacınız var?
  3. Ekibinizin sızma testi sürecine dahil olması için en uygun zaman ne zamandır?
  1. Sızma testinin başlatılması, ilerlemesi ve bulgular hakkında kim bilgilendirilmelidir?
  2. Pentest ekibinin birincil iletişim noktası kim olacak?
  3. Bulguların ele alınmasından kuruluşunuzda kim sorumlu olacak?
  1. Satıcı, sızma testi öncesinde, sırasında ve sonrasında sizinle nasıl iletişim kuracak?
  2. Sızma testçileri kapsam içindeki varlıklara nasıl erişecek?
  3. Nihai teslimatlar sizinle nasıl paylaşılacak?

“Ne zaman?”

1. Sızma testinin ne zaman başlayıp sonuçlanmasını bekliyorsunuz?

Tanımlanmış zaman çizelgeleri, özellikle bir sızma testinin daha geniş bir risk yönetimi stratejisinin parçası olduğu ve sonraki projeleri etkilediği durumlarda, son teslim tarihlerine uymak için çok önemlidir.

2. Nihai rapora ne zaman ihtiyacınız olacak?

Önceki soruya benzer bir not olarak, nihai rapor için uyulması gereken son tarihler konusunda satıcıyı mümkün olan en kısa sürede bilgilendirmek kritik öneme sahiptir. Nihai raporun, pentestin sonuçlanmasından sonraki bir hafta içinde paylaşılması standarttır.

3. Ekibinizin bir sızma testine katılması için en iyi zaman ne zamandır?

Sızma testleri zamana bağlıdır; bu nedenle, tüm kilit ve ilgili ekip üyelerinin hazır olmasını, lansmandan önce ve sızma testi sırasında her türlü soruya vakit ayırmalarını ve yanıt vermelerini sağlayın.

“DSÖ?”

1. Sızma testi hakkında kimler bilgilendirilmelidir?

Kırmızı Takım katılımında olduğu gibi düşük profili korumak birincil hedef değilse, kuruluşunuzun savunucularını yaklaşan bir sızma testi hakkında bilgilendirmeniz tavsiye edilir. Bu, yetkili bir sızma testinin oluşturduğu trafik yerine gerçek tehditlere konsantre olmalarını sağlayacaktır.

Güvenlik Operasyon Merkezi (SOC) ekipleriniz gibi kuruluşunuzun altyapısını koruyan uygun kişileri bilgilendirebilmeniz için, sızma testi ekiplerinin test IP adreslerini paylaşması yaygındır. Bu beklenen bir durumdur, dolayısıyla pentest ekibinden bunları istemekten çekinmeyin.

2. Pentest ekibinin birincil iletişim noktası kim olacak?

Bu rol için bir kişiyi atamak, sürecin verimliliğini önemli ölçüde artırabilir ve sızma testi boyunca işbirliğini geliştirebilir.

Bu kişinin test edilen ürün veya varlığın Konu Uzmanı (KOBİ) olması tercih edilse de zorunlu değildir. Kapsam dahilindeki varlıklar ve farklı bileşenlerin nasıl etkileşime girdiği hakkında pentester’ların sahip olabileceği soruları ele almaktan sorumlu olacaklar ve cevapları yoksa, cevapları almak için kuruluş içinde kiminle iletişime geçeceklerini bilmeleri gerekiyor.

Ayrıca, kritik veya yüksek önemde bir güvenlik açığının keşfedilmesi durumunda sızanlar için bir tırmanma noktası görevi görebilirler.

3. Kuruluşunuzda bulguların ele alınmasından kim sorumlu olacak?

Test edilen varlıktan sorumlu ürün sahiplerinin ve ekiplerin belirlenmesi, sızma testi sırasında bildirilen güvenlik açıklarının, özellikle de acil müdahale gerektiren kritik ve yüksek önemdeki güvenlik açıklarının ele alınması açısından çok önemlidir.

“Nasıl?”

1. Satıcı, sızma testi öncesinde, sırasında ve sonrasında sizinle nasıl iletişim kuracak?

Açık iletişim kanalları oluşturmak ve pentester sorularına anında yanıt vermek, seçtiğiniz sızma testi sağlayıcısıyla başarılı bir deneyim için hayati öneme sahiptir.

Bu, sızma testine katılan üyeler arasında hızlı sohbet için Slack kanalları oluşturmak kadar basit ve etkili olabilir. Bu, bir pentest ekibiyle iletişimin en etkili şeklidir ve pentest ekiplerini HackerOne’daki müşterilerle nasıl buluşturduğumuzdur. Gevşek iletişim, kullanılabilirliğe bağlı olarak hem eşzamanlı hem de eşzamansız olabilir ve belgelenmiş bir zaman çizelgesi sağlar. Sızma testi devam ederken e-postalar yavaş bir iletişim aracı olabilir ve telefon görüşmeleri kullanılabilirlik ve planlama sınırlamalarına bağlıdır.

2. Sızma testçileri kapsam içi varlıklara nasıl erişecek?

Pentest uzmanlarının, pentestin 1. gününde çalışmaya başlayabilmeleri kritik öneme sahiptir; dolayısıyla kapsam içi varlıklara başarılı bir şekilde erişebildiklerini doğrulamak çok önemlidir.

  • Varlıklar internete yönelik mi yoksa yalnızca dahili mi?
  • Mobil uygulamalar ilgili mağazalarda satışa sunulacak mı? Alternatif olarak TestFlight aracılığıyla mı yoksa .apk dosyası olarak mı sunulacaklar?
  • Pentester’ların varlıklara bağlanmak ve erişmek için bir VPN’e ihtiyacı var mı?
  • IP adreslerini çevre cihazlarınızdaki izin verilenler listesine eklemeniz mi gerekiyor?
  • Test etmek için kimlik bilgilerine ihtiyaçları olacak mı? Bunlar nasıl sağlanacak?

3. Nihai çıktılar sizinle nasıl paylaşılacak?

Şimdi bunun nasıl gerçekleştiğine çok dikkat edelim. Nihai rapor olarak e-postayla korumasız bir PDF almak istemezsiniz.

Raporun sizinle güvenli bir şekilde paylaşıldığından emin olun. Satıcıların şunları paylaştığı biliniyor:

  • Erişebileceğiniz ve indirebileceğiniz güvenilir pentest platformlarında barındırın.
  • Karşılıklı olarak üzerinde anlaşmaya varılan güvenli bir dosya paylaşım platformu kullanın.
  • Şifre korumalı bir PDF, e-posta veya şifrenin bant dışında paylaşıldığı diğer iletişim kanalları üzerinden gönderilir.

Çözüm

Serimizin 2. Bölümünü tamamladığımızda, bir sızma testinin güvenlik açıklarını belirlemek ve ele almak ve sonuçta kuruluş için riski azaltmak için değerli bir araç olabileceği açıktır. Ancak kaynakların israf edilmesini ve fırsatların kaçırılmasını önlemek için daha yeterli hazırlık yapılması gerekmektedir.

2 bölümlük serimizde ortaya koyduğumuz soruların yanıtlarıyla hazırlıklı olmak, katılan herkes için sorunsuz, başarılı ve kapsamlı bir sızma testi deneyimi sağlayabilir.

HackerOne Pentest’in Verimliliği

HackerOne Pentest, hizmet olarak Pentest (PTaaS) modeliyle geleneksel pentestte devrim yaratıyor. Bu PTaaS yaklaşımı, sızma testlerini her zamankinden daha hızlı başlatmanız için size yol gösteren kapsamlı bir kapsam belirleme formu, ilgili tüm taraflar arasında kesintisiz iletişim ve takip edilmesi kolay iyileştirme adımları ve kanıtlanmış uyumluluk ile kapsamlı raporlama sağlar.

Müşteriler, her bir güvenlik testi etkileşiminde test deneyimini geliştirmek için operasyonel verimliliği uzman Teknik Katılım Yöneticilerinin (TEM’ler) benzersiz desteğiyle birleştiren HackerOne ile sızma testi süreçlerini basitleştirir.

Bir sonraki adımı atmaya hazır mısın? Pentest gereksinimlerinizi bizimle paylaşın ve uzmanlarımızın güvenlik hedeflerinize uygun bir strateji oluşturmasına izin verin.



Source link