Bu Help Net Security röportajında, Ambionics Security Operasyon Başkanı Charles d’Hondt, yıllık penetrasyon testlerinin yeterli olmaması nedeniyle sürekli sızma testlerinin uygulanmasının gerekliliğinden bahsediyor. Kör noktalar bırakıyorlar ve düzenli sürümlerin ve gelişen tehdit ortamının güvenlik ihtiyaçlarını karşılayamıyorlar.
Bunu aşmak için, güvenlik ve geliştirme ekipleri daha iyi iletişim kurmalı, güvenlik sorunu raporlarında güvenlik açığının yeniden oluşturulmasına ilişkin net ayrıntılara ve önerilere yer vermeli ve geliştiricilere güvenlik sorunlarıyla başa çıkmaları ve bilgilerini geliştirmeleri için zaman ve eğitim sağlamalıdır.
Birçok kuruluş yıllık penetrasyon testlerine alışkındır. Onlara yaşıyor olabilecekleri ‘kör noktalar’ hakkında ne söylersiniz?
Yıllık sızma testlerinin güvenlik açıklarını bulmada etkili olduğu görülmüştür ancak düzenli sürümlerin güvenlik ihtiyaçlarını ve gelişen tehdit ortamını karşılama yeteneğinden yoksundurlar.
Bir güvenlik testi gerçekleştirmek için bir yıla kadar beklemek, yeni kod sürümlerinin veya kamuya açıklanmış bir kodun getirdiği güvenlik açıkları konusunda kuruluşu karanlıkta bırakacaktır.
Bilinen teknolojilerde her gün yeni güvenlik açıkları ortaya çıkıyor ve saldırı yeteneğine sahip bir kuruluşun saldırı yüzeyine karşı gerçek zamanlı olarak kontrol edilmesi gerekiyor.
Hız, tehdit aktörleri ile güvenlik ekibi arasında bu güvenlik açıklarını ele almak için çok önemli bir faktördür ve bir saldırı yüzeyindeki yeni bir güvenlik açığını anında kontrol etme kapasitesine sahip olmak oyunun kurallarını değiştirebilir.
Web uygulamalarının nasıl oluşturulduğu son on yılı aşkın süredir büyük bir gelişme gösterdi. Scrum ve agile gibi yinelemeli metodolojiler, mimarinin gelişimi, mikro hizmetlerin popülerliği ve bulutun benimsenmesi, kodların sık sık yayınlanmasına, altyapı değişikliklerine ve hizmetlerin sürekli yinelenmesine yol açmıştır.
Bunlar, her yinelemede uygun şekilde incelenmezse çok sayıda zayıf nokta olabilir.
Yeni bir hizmetin devreye alınması üzerine bulut IAM ACL’sinde yapılacak küçük bir değişiklik, bağlantılı tüm hizmetler için yıkıcı olabilir ve yeni güvenlik açığını tespit etmek için bir sonraki sızma testi için aylarca beklemek çok sorunlu olabilir.
Yıllık penetrasyon testleri hâlâ çoğu şirkette varsayılan uygulamadır ve son on yıldır da bu böyledir.
Sürekli uygulama ve altyapı penetrasyon testleri de dahil olmak üzere yeni güncel uygulamalar hayata geçirilmelidir.
Geliştiriciler bazen sürekli penetrasyon testini bir engel olarak görürler. Sizce bu nedendir ve nasıl çözülebilir?
Geliştiriciler, bunun bir zaman ve kaynak kısıtlaması veya güvenlik ve geliştirme ekipleri arasında iletişim eksikliği olarak algılanması durumunda sürekli penetrasyon testi konusunda olumsuz bir vizyona sahip olabilir.
Sürekli yeni güvenlik sorunları, geliştiricilerin dikkatlerini başka yöne çekmelerine yol açabilir ve özellikle kısaca çevik geliştirme döngülerinde, bir engel olarak görülebilir ve süreci yavaşlatabilir.
Ayrıca güvenlik, yeni özellikler kadar önemli algılanmayabilir ve küçümsenebilir; bu da zaman veya eğitim gibi güvenlik sorunlarının üstesinden gelmek için gerekli kaynakların sağlanmasına olanak tanımaz.
Sürekli penetrasyon testi aynı zamanda güvenlik endüstrisinde farklı anlamlara da gelebilir ve geliştiriciler için büyük hayal kırıklığına yol açan aşırı ayrıntılı ve yanlış pozitif raporlar üretebilen otomatik tarayıcılarla karıştırılmamalıdır.
Bu sorunlar çeşitli yollarla çözülebilir:
- Güvenlik açığının yeniden üretilmesi ve tavsiye edilmesine ilişkin net ayrıntılarla güvenlik sorunlarının raporlanmasında daha iyi entegrasyon
- geliştiriciler ve pentester’lar arasında yerleşik, kullanımı kolay bir iletişim kanalı
- Güvenlik sorunlarının üstesinden gelmek ve güvenlik bilgilerini geliştirmek için geliştiricilere ayrılan zaman ve eğitim gibi kaynaklar
PCI gibi çoklu test uyumluluk gereksinimleri açısından sürekli sızma testi bu süreci nasıl kolaylaştırır?
Sürekli penetrasyon testinin uyumluluk gerekliliği açısından birçok avantajı vardır. Örneğin, PCI DSS her 12 ayda bir veya “Herhangi bir önemli altyapı veya uygulama yükseltmesi veya değişikliğinden sonra” bir sızma testi gerektirir; sürekli sızma testi bu bağlamda uyumlu olacak ve bir yıl boyunca birden fazla uygulama değişikliğinde uygun maliyetli olacaktır.
Ayrıca, PCI DSS, her üç ayda bir ASV taraması gerektirir ve Hizmet Platformu Olarak Pentesting’in (PaaST) çoğu, sürekli sızma testine ek olarak bu tür taramaları yönetme seçeneklerine sahip olacaktır.
Sürekli sızma testinin bir şirketin bulut ve DevOps ortamlarındaki hızlı değişikliklerden kaynaklanan güvenlik açıklarını belirlemesine yardımcı olduğu bir örnek verebilir misiniz?
Hızlı bir DevOps döngüsüne sahip bir şirkette, web uygulamasının yeni bir sürümünün yayınlanması üzerine otomatik araçlar, varlıkta bir değişiklik olduğuna dair bir uyarı verdi.
Bu, uyarının manuel olarak değerlendirilmesini ve bir sızma testini tetikledi; yapılandırma değişikliği, komutun yürütülmesine ve sunucunun tamamen ele geçirilmesine yol açan yeni yolların açığa çıkmasına izin verdi.
Birkaç saat içinde müşteriye gerçek zamanlı bir uyarı verildi.
Test sonuçlarını ve önceliklerini ayarlama olanağına sahip şirketler, sürekli sızma testi raporlarının mevcut tehditlerle alakalı kalmasını nasıl sağlayabilir?
Dinamik bir portal aracılığıyla gerçek zamanlı raporlama ve güvenlik ve geliştirme teknik ekipleri arasındaki kullanımı kolay iletişim kanalı, bir şirketin güvenlik açığı iyileştirme, risk değerlendirmesi ve önceliklendirme ile ilgili ihtiyaçlarını ayarlamasına olanak tanır.
Sürekli penetrasyon testi satıcıları genellikle tüm güvenlik açıklarının haftalık olarak yeniden kontrol edilmesini sağlar ve bu da saldırı yüzeyinin güncel bir risk değerlendirmesini sağlar.
Siber tehditlerin hızlı evrimi göz önüne alındığında, sürekli sızma testinin geleceğini nerede görüyorsunuz?
Sürekli penetrasyon testi, bazı kuruluşlardaki mevcut uygulamalarla ilgili olarak başlı başına bir gelişmedir ve daha geniş çapta benimsenmelidir.
Sürekli penetrasyon testinin geleceğinin iki büyük evrimde yattığına inanıyorum.
Bunlardan ilki, gerçek zamanlı raporlama ve iletişimi kolaylaştırmak için bir kuruluşun araçlarına ve süreçlerine tam bir entegrasyon sağlama yeteneğidir.
İkinci gelişme, kapsamlı ve eksiksiz bir koruma sağlamak için harici saldırı yüzey yönetimi (EASM) ve siber tehdit istihbaratı (CTI) çözümlerini senkronize etme ve entegre etme yeteneğinde olacaktır.
Bir EASM çözümü, sürekli penetrasyon testi yoluyla izlenecek bir kuruluşun varlıklarının kapsamlı bir listesini besleyebilecektir. Amaç, müşteriye bir saldırganın (özellikle gölge BT) kullanabileceği saldırı yüzeyinin güncel ve kapsamlı bir resmini sağlamaktır.
Ve bir CTI çözümü çeşitli sızıntılar sağlayacaktır; bunlardan bazıları, CTI uyarısının oluşturduğu riskin tam bir değerlendirmesini yapmak için sürekli sızma testi yoluyla kullanılabilir.
Örneğin, belirli bir kuruluşa ilişkin karanlık ağ forumunun sır sızıntıları elde edilebilir ve izlenen varlıklar üzerinde kullanılabilir. Bu da tam bir risk değerlendirmesiyle birlikte gerçek zamanlı bir uyarıya yol açacaktır.