Sistematik Penetrasyon Testi, bilgisayar korsanlarından bir adım önde olmanın tek yoludur, bu nedenle para harcamaya değer. Ancak sızma testleri sunan binlerce şirket var. Sızma testi hizmetlerinden tam olarak ne istediğinize ve işletmenizin değerli verilerine erişimi kime emanet etmek istediğinize karar vermeniz gerekir. Bu kişiler sisteminize girebilir ve müşteri bilgilerine, hassas şirket araştırmalarına ve diğer gizli verilere erişebilir. Buradaki göreviniz güvenebileceğiniz kişileri seçmek.
Ne tür bir penteste ihtiyacınız olduğuna karar verin.
Bir satıcı bulmaya hazırlanın ve ne tür pentestlerin mevcut olduğunu ve hangisine ihtiyacınız olduğunu anlamaya çalışın. İlk önce, tam olarak neyi test etmeniz gerektiğine karar verin. Sızma testi sağlayıcıları çoğunlukla hizmetlerini aşağıdaki çalışma kapsamına ayırır:
- Web Uygulaması sızma testi.
- Dahili sızma testi/ağ sızma testi.
- Dış penetrasyon testi.
- Mobil Uygulama değerlendirmesi.
- Nesnelerin İnterneti (IoT) Güvenlik değerlendirmesi.
- Sosyal mühendislik.
Seçmeniz gereken ikinci şey bir sızma testi yöntemidir. Bu, etik bilgisayar korsanlarıyla paylaşmaya hazır olduğunuz erişim kapsamı anlamına gelir.
- Beyaz kutu testi – dahili bir test yöntemidir. Yetkili bir kullanıcının ne kadar tahribata yol açabileceğini müşteriye gösterir. İçeriden saldırı simülasyonunun ana özelliği, istemcilerin satıcılara ağ altyapısı şemalarına, kaynak koduna ve IP adreslerine tam erişim sağlamasıdır. Test, güvenlik kodu incelemesini içerebilir.
- Gri kutu testi – etik bilgisayar korsanlarının hedeflenen sisteme yalnızca kısmi erişim sağladığı bir test yöntemidir. Böyle bir erişime sahip olan pentesterler, ağda uzun süre kalarak bir saldırgan gibi davranabilirler. Müşteriler, pentesterlere dahili hesap sağlar. Pentesters ayrıca birkaç yükseltilmiş ayrıcalık elde eder. Test sonuçları, kuruluşun içeriden iyi korunup korunmadığını ve bilgisayar korsanının kritik verilere erişmesinin ne kadar kolay olduğunu gösteriyor. Test cihazları, güvenlik politikalarını kontrol eder ve ağ tasarımında güvenliği kontrol eder.
- Kara kutu testi – kör testtir. Etik bilgisayar korsanlarının ağ yapısı ve koruması, güvenlik politikaları veya yazılım hakkında sahip olduğu bir yöntemdir. Bu yöntem, bir dış tehdit olduğunda durumun bir simülasyonudur. Buradaki etik hackerlar için ilk görev, hedef sistemin içine girmek – dış savunma hattını test etmektir. İçeri girdikten sonra, pentesters ilerlemeye çalışır, giderek daha erişilebilir hale gelir.
En uygun sızma testi satıcısının nasıl seçileceğine dair ipuçları
- Bir satıcı deneyimi öğrenin.
Olası satıcı güvenilirliğinden emin olmak için dışarıdan birinin fikrini almanız gerekir. Müşteri listelerine ve genel itibarlarına bakabilirsiniz.
Müşterilerin referanslarını kontrol edin – size doğru resmi göstereceklerdir. Clutch, Gartner ve G2 ile ilgili derecelendirmeleri ve incelemeleri arayın.
- Sertifikayı kontrol edin
Pentestçilerin eğitim ve profesyonelliklerindeki ilk gelişme sertifikasyondur. Pentestçiler için tüm en iyi sertifikalar OSCP, OSCE, CEH, CCNE, MCP, GIAC ve diğerleridir. Kontrol etmeniz gereken bir diğer faktör, satıcının ne kadar süredir piyasada olduğu ve farklı endüstriler ve ortamlarla çalışma deneyimidir. Bu, pentesterlerin ne yaptıklarını bilmelerini sağlar. Etik bilgisayar korsanları için en önemlisi, gelişmiş kalıcı tehditler (APT’ler) ve saldırgan davranışına ilişkin Olay Müdahale Katılımlarından elde edilen gerçek dünya saldırı bilgilerini kullanmaktır.
Test uzmanlarının sertifikalarını kontrol ettikten sonra Github’larını bulun, araştırın ve bloglarını kaydırın. Herhangi bir profesyonel sızma testi/siber güvenlik şirketi genellikle güvenlik topluluğuna büyük katkı sağlayacaktır.
- Manuel ve otomatik test
Sızma testi yerine güvenlik açığı taramaları satın almadığınızdan emin olun. Güvenlik açığı taraması, sızma testi kadar etkili değildir. İyi performans gösteren bir sızma testi, çeşitli araçların ve manuel tekniklerin kombinasyonunu içermelidir.
Etik bilgisayar korsanları, manuel pentestler sağlar ve saldırganın davranışını ve sektör eğilimlerini simüle edebilir ve çeşitli saldırı vektörlerini kullanabilir. Otomatik araçlar belirli güvenlik açıklarını hızlı bir şekilde tespit ederken, hepsini tespit edemezler. Böylece deneyimli bir saldırgan ağa girebilir. Ayrıca, otomatik araçlar yanlış pozitifler almaya meyillidir.
- İyileştirme testi dahil mi?
Yeniden test etme seçeneği sunan bir satıcı arıyorsanız bu sizin için en iyisi olacaktır. Sızma testi sonrası aldığınız sonuçlarla güvenlik sistemlerini iyileştirdikten sonra yeniden test yapılır. Öncelikle, tüm kusurların giderildiğini ve güvenlik sistemlerinizin çeşitli kötü niyetli bilgisayar korsanlığı girişimlerine karşı etkili bir şekilde savunabileceğini doğrulamak için bir iyileştirme değerlendirmesine ihtiyacınız var. İkincisi, iyileştirmeden sonra daha temiz bir nihai rapor alırsınız.
- Uygun belgeleri alacağınızdan emin olun.
Potansiyel satıcınıza raporlarının nelerden oluştuğunu sorun. Tam teşekküllü rapor şunları içerir:
- Yönetici Özeti. A (Mükemmel) ile F (Yetersiz) arasında değişebilen ve üst düzey öneriler sunan genel bir güvenlik değerlendirmesidir. Satıcı, size tehditlerin sınıflandırılmasını sağlar ve bunların işiniz üzerindeki etkisini ve olası sonuçlarını açıklar.
- Teknik rapor, kanıtları ve eserleri içermelidir. Bu videolar ve ekran görüntüleri, BT ve Geliştirme ekiplerinizin daha sonra penetrasyon testçilerinin bulgularını yeniden oluşturmasına olanak tanır.
- Uyumluluk gereksinimleri. Müşterinize göstermek için güvenlik seviyenizde biraz iyileştirmeye ihtiyacınız var. Uygunluk gereksinimleri bir tasdik mektubudur ve satıcının web sitesinin “doğrulanmış listesi”ndeki bir liste vb. olabilir.
- Satıcının yalnızca size bir sertifika vermek için çalışmadığını varsayalım. Bu durumda, müşterilere anında iyileştirme için taktiksel öneriler ve siber güvenlik duruşunun iyileştirilmesi için daha uzun vadeli öneriler sunarlar. Güvenlik ekibi, soruşturma deneyimine göre uygun çözümler önerebilir ve ipuçları verebilir.
İyi bir sızma testi ekibi size işinizdeki sıkıntılı noktaları gösterecek ve bir bilgisayar korsanının kuruluşunuza ne kadar nüfuz edebileceğini ve hangi verilere erişebileceğini göreceksiniz. Sizi sahte bir güvenlik duygusundan kurtaracak ve size güvenli bir dışarısı, yeni bir bakış açısı ve güvenliğinizi güçlendirecek yeni bilgiler verecektir.
Esas olarak işletmeler, endüstri standartlarını ve düzenleyici gereklilikleri (HIPAA, GDPR, SEC, CMMC gibi) doğrulamak için bir pentest hizmeti satın alır. Ancak sadece gereksinimleri düşünmemeye çalışın ve sızma testinin avantajlarından en iyi şekilde yararlanın. Yıkıcı bir ihlal yaşamadan önce kendinizi korumanıza izin veren siber güvenliğe proaktif bir yaklaşımdır.