Pentest Şirketi Seçmek İçin İpuçları


Günümüzün otomatikleştirilmiş bilgisayar korsanlığı sistemleri, sık veri ihlalleri ve GDPR ve PCI DSS gibi tüketici koruma düzenlemeleri dünyasında, sızma testi artık her büyüklükteki kuruluş için temel bir güvenlik gereksinimidir. Ancak doğru sağlayıcıyı seçerken nelere dikkat etmelisiniz?

Çok sayıda sağlayıcı göz korkutucu olabilir ve makul bir fiyata yüksek kaliteli bir test sunabilecek birini bulmak kolay değildir. İyi olup olmadıklarını nereden biliyorsun? Raporda hangi düzeyde güvenlik uzmanlığı yer aldı? Başvurunuz güvenli mi, yoksa tedarikçiniz zayıf yönleri bulamadı mı?

Kolay cevaplar yoktur, ancak önceden doğru soruları sorarak bunu kolaylaştırabilirsiniz. En önemli hususlar üç kategoriye ayrılır: sertifikalar, deneyim ve fiyat.

sertifikalar

Sertifikalar, güven oluşturmak için hızlı bir kısayol sağladıkları için başlamak için en iyi yerdir. Profesyonel sertifika sıkıntısı yoktur, ancak en iyi tanınanlardan biri CREST’tir (Council of Registered Ethical Security Testers).

CREST, İngiltere’nin önde gelen kalem testi danışmanları tarafından tam olarak bu sorunu çözmek için kuruldu ve şu anda çeşitli siber güvenlik disiplinleri için uluslararası alanda tanınan bir kalite işaretidir.

Yine de, CREST’in hem şirket düzeyinde bir sertifikaya hem de her bir testçinin becerilerini kanıtlamak için bir sınavı geçmesi gereken bireysel sertifikalara sahip olması nedeniyle, neye bakmanız gerektiğini bilmeniz gerekir. Birine sahip olmak, diğerine sahip olduğunuz anlamına gelmez.

Şirket çapında akreditasyon (‘CREST üye şirket’) politikalarını, süreçlerini ve prosedürlerini en üst düzeyde kanıtlayabilen şirketlere verilir. Bu, penetrasyon testi şirketlerinin kağıt üzerinde iyi uygulamaları izlediklerini ve uygun güvenlik testi metodolojilerini kullandıklarını göstermelerine olanak tanır. Ancak, bir ‘CREST üyesi şirketten’ kalem testi yapmasını istemek, testinizi gerçekleştiren danışmanın kendilerinin sertifikalı olduğunu garanti etmez – yalnızca şirketin ahlaki olarak size uygun bir test cihazı sağlamakla yükümlü olduğunu.

İşi yapacak gerçek testçi hakkında soru sorduğunuzdan emin olun – uygun sertifikalara ve deneyime sahipler mi?

Bu nedenle CREST, giriş seviyesi sertifikalardan farklı uzmanlık alanlarındaki karmaşık uygulamalı sınavlara kadar bireysel test uzmanları için bile farklı seviyelere sahiptir. Hem sertifika düzeyine hem de aradığınız sızma testi türüne özel olup olmadığına bakmak önemlidir. Penetrasyon testi için mevcut CREST sertifikalarını aşağıda özetledik:

Bir ast, kıdemli veya uzman arıyorsanız, kuruluşunuzun risk iştahına bağlı olacaktır. Hükümetler genellikle uzman isterler, düşük risk profilli girişimler gençleri tercih edebilir.

Sertifikalar faydalı olsa da her şeyi kapsayamazlar. Dışarıda pek çok teknoloji türü var ve her birini kapsayan bir sınavınız olamaz. Yukarıdaki şemadan da görebileceğiniz gibi, AWS veya gömülü cihazlar veya mobil uygulamalar için CREST sınavı yoktur.

Penetrasyon test cihazları doktorlar gibidir; geniş bir bilgi ve beceri setine sahiptirler, ancak uğraştığınız hasta için her zaman bir ders kitabı yoktur. İşte o zaman deneyim devreye girebilir.

Deneyim

Bir diğer büyük faktör, kalem test cihazınızın kemerlerinin altında sahip olduğu deneyimdir. Ne kadar fazla maruz kalırlarsa, daha geniş bir güvenlik tehdidi yelpazesini ortaya çıkarmakta o kadar iyi olacaklardır.

Bazı test türleri, AWS Cognito veya Gerçek Zamanlı Mesajlaşma Protokolü gibi belirli teknolojilerdeki belirli becerileri içerebileceğinden, tüm deneyimlerin eşit olmadığını belirtmek de önemlidir. Sağlayıcınızın, birlikte çalıştığınız teknolojilerde ilgili deneyime sahip olduğundan emin olun.

Unutmayın, her teknolojide deneyimli bir test uzmanı olmayabilir, bu nedenle esnek olmanız gerekebilir. İyi bir penetrasyon test cihazı, diğer disiplinlerin becerilerine ve ilkelerine dayalı olarak test etmeniz gereken teknoloji hakkında bilgi edinebilir, ancak eldeki teknolojiye aşina olmaları daha uzun sürebilir. Fiyat üzerinde zincirleme etkisi olabilir…

Fiyat

Müşteriler bir penetrasyon testinin ortalama maliyetini sorduğunda, bu bir ip parçasının ne kadar uzun olduğunu sormak gibidir. Neyle çalıştığınıza ve ne kadar derine inmeniz gerektiğine bağlı. Bir köprü boyadığınızı hayal edin: ne kadar büyük olduğuna ve kaç kat boya istediğinize bağlı. Bir kat sizi elementlere maruz bırakabilir.

Bir kalem testinin maliyetinin ne kadar olduğunu sormak, bir köprüyü boyamanın ne kadara mal olacağını sormak gibidir. Köprünün boyutuna, herhangi bir karmaşık faktöre ve ne kadar kapsama almak istediğinize bağlıdır.

Bu nedenle, kalem testleri genellikle ‘günlük ücret’ bazında fiyatlandırılır ve çok genel olarak, 800 – 1500 £ aralığında herhangi bir şey ödemeyi bekleyebilirsiniz.

Gün oranları, itibar, sertifikalar ve özel gereksinimler ve deneyim gibi şeylere bağlı olarak satıcıdan satıcıya değişir, ancak çok sayıda gün satın alıyorsanız indirimler üzerinde pazarlık yapılabilir (on beş günden fazla bir süre büyük bir test olarak kabul edilir).

İşinizin ne kadar süreceğini anlamak için satıcının genellikle ürününüzün bir demosunu alması veya ortamınız hakkında bilgi toplaması gerekir. Genel bir kural olarak, bu aşamada ne kadar az soru sorarlarsa, doğru alıntılanmış bir iş parçası alma olasılığınız o kadar düşük olur.

Bir işin kapsamını belirleme konusunda da bir standart yoktur, bu nedenle tahminlerin farklı olduğunu görebilirsiniz. Bir tedarikçi, bir işi 3 günlük iş olarak, bir diğerini ise 5 olarak kapsayabilir. Bunlar en iyi tahminlerdir; işi yapana kadar emin olmak zor.

Hatta “sabit ücretli” pentestler bile satın alabilirsiniz, ancak köprü analojisine geri dönersek, muhtemelen işin ne kadar büyük olduğunu sormadan sabit bir ücret karşılığında teklif ediyorlarsa kapsama konusunda endişe duymalısınız.

Hayattaki her şeyde olduğu gibi, teklif ettiğiniz fiyat sızma testinin kalitesini yansıtmalıdır – ancak bir testin kalitesini yargılamanın zor olduğu bir sektörde, bazı dolandırıcı tüccarlar olması gerekir. Doğru soruları sorun ve durum tespitini atlamayın.

Anlık sızma testlerinin ötesine geçmek

Sızma testini tek güvenlik açığı algılama yönteminiz olarak kullanmakla ilgili önemli sorunlar vardır.

İlk olarak, derinlemesine olsa da, sızma testi yalnızca zaman içinde bir noktayı kapsar. Her gün tanımlanan 20 yeni güvenlik açığıyla, sızma testi sonuçlarınız, raporu alır almaz güncelliğini yitirebilir.

Sadece bu da değil, aynı zamanda ilgili çalışma nedeniyle raporların hazırlanması altı ay kadar uzun sürebilir, ayrıca sindirilmesi ve harekete geçirilmesi birkaç ay sürebilir.

Çok pahalı olabilirler – genellikle her seferinde binlerce sterline mal olurlar.

Bilgisayar korsanlarının sistemlerinize girmek için daha karmaşık yöntemler bulmasıyla birlikte, sizi bir adım önde tutacak en iyi modern çözüm nedir?

Güvenlik duruşunuzun en kapsamlı resmini elde etmek için otomatik güvenlik açığı taramasını ve insan liderliğindeki sızma testini birleştirmeniz gerekir.

Intruder Vanguard tam da bunu yapıyor ve diğer tarayıcıların yapamadıklarını bulmak için güvenlik uzmanlığını ve sürekli kapsamı bir araya getiriyor. Sistemleriniz üzerinde sürekli bir izleme sağlamak için geleneksel güvenlik açığı yönetimi ile belirli bir noktadan sonra sızma testleri arasındaki boşluğu doldurur. Dünyanın önde gelen güvenlik uzmanları ellerindeyken, daha derine inecek, daha fazla güvenlik açığı bulacak ve saldırganları uzak tutmanıza yardımcı olmak için bunların işletmeniz üzerindeki doğrudan etkilerine ilişkin önerilerde bulunacaklar.

Davetsiz Misafir Hakkında

Intruder, sürekli güvenlik açığı taraması ve sızma testi hizmetleri sağlayarak kuruluşların saldırı yüzeylerini azaltmalarına yardımcı olan bir siber güvenlik şirketidir. Intruder’ın güçlü tarayıcısı, yüksek etkili kusurları, saldırı yüzeyindeki değişiklikleri anında tespit etmek ve ortaya çıkan tehditler için altyapıyı hızla taramak için tasarlanmıştır. Yanlış yapılandırmaları, eksik yamaları ve web katmanı sorunlarını belirlemeyi içeren binlerce denetimi çalıştıran Intruder, kurumsal düzeyde güvenlik açığı taramasını herkes için kolay ve erişilebilir hale getirir. Hırsızların yüksek kaliteli raporları, potansiyel müşterilere iletmek veya ISO 27001 ve SOC 2 gibi güvenlik yönetmeliklerine uymak için mükemmeldir.

Saldırgan, güvenlik açığı değerlendirme platformunun 30 günlük ücretsiz deneme sürümünü sunar. Bir tur atmak için bugün web sitelerini ziyaret edin!





Source link