Sızma testleri, herhangi bir güvenlik programının önemli bir parçasıdır. Uzmanlar, Fortune 200’deki çoğu şirketin güvenlik olgunluk modeli dahilinde en azından bir yıllık sızma testini planladıklarını söylüyor.
Offensive Security’nin içerik ve strateji sorumlusu Jim O’Gorman, en iyi sızma testlerinin şirketin hedeflerine göre tasarlandığını ve güvenliklerini geliştirmeye devam edebilmek amacıyla açıkça tanımlanmış ve uygulanabilir adımları oluşturmasına yardımcı olan eyleme geçirilebilir sonuçlar sağladığını söylüyor.
Sonuç olarak: Sızma testleri, genel güvenlik duruşunuzu iyileştirmek amacıyla global trendlere ve prosedürlere uygun bir şekilde yapılmalıdır.
Hızlı bir başlangıç yapabilmeniz için birkaç ipucu.
Kuruluşunuzun Hedeflerini Tanımlayın
Neden bir sızma testi istediğinizi belirleyin. Ana hedef HIPAA veya PCI DSS gibi standartlarla uyumluluğu mu sağlamak? Yoksa kötü niyetli olayları daha hızlı tespit etmek, saldırı yüzeyini en aza indirmek ve etkilenen alanları sınırlandırmak için başarılı ihlalleri izole etmek ve genel güvenliğinizi iyileştirmek mi istiyorsunuz? Ya da tehdit ortamınız için daha gerçekçi olan politikalar belirlemek mi istiyorsunuz? Veya belirli uygulamaların güvenliğini kontrol atlına almak mı istiyorsunuz?
“Sızma testleri, güvenlik yaşam döngüsünün bir parçası olarak ve zaten yürürlükte olan kontrollerin doğrulanması amacıyla yapılır.”
Kuruluşunuzun kontrolleriyle ilgili bilinen sorunları varsa, neden birisine sistemleriniz hakkında zaten bildiklerinizi yinelemesi için para ödeyesiniz? Bu noktada yavaşlamanız ve değerlendirmenin hedeflerini tanımlamanız gerekir.
Bütçenizi Belirleyin
Artık sızma testi hedefinizi belirlediğinize göre, bu konuya ne kadar kaynak ayırabileceğinizi göz önünde bulundurmanız gerek. Ne kadar para harcayabilirsiniz? İşin ne zaman tamamlanması gerekiyor?
İyi bir sızma testi size pahalıya mâl olabilir. Temel bir değerlendirme daha ucuzdur ve planlaması daha kolaydır.
Cobalt’ın pentest operasyonları ve araştırma direktörü Jay Paz, şirketlerin yılda en az bir kez sızma testi yapmasını tavsiye ediyor. Ancak, üretim sunucuları ve uygulamaları için hızlı geliştirme ekiplerine sahip şirketlerin, her periyod için bütçe ayırmaları gerektiğini söylüyor.
Risk ne kadar büyükse, test etme ihtiyacı da o kadar artar
Bilgi Toplayın ve RFP’nizi Oluşturun
Kuruluşunuz daha önce sızma testleri gerçekleştirdiyse sonuçları ve o sırada yapılan takipleri gözden geçirin. Olay müdahale ekibinizle konuşun (eğer varsa) ve kaç tane ve ne tür olaylarda çalıştıklarını gözden geçirin. Güvenlik açığı yönetimi programınızın durumunu değerlendirin? Sızma testi sağlayıcısının sorması durumunda bu düzeydeki bilgileri bir araya getirmeniz gerekecektir.
Ardından teklifler için bir istek gönderin. Farklı organizasyonlardan tavsiye isteyin. En az 3 tedarikçi ile görüşün. Bu ilk sızma testinizse, daha fazla araştırma yapın, fakat 6 tedarikçiden fazlası kafa karıştırıcı olacaktır. Ardından, aldığınız yanıtlara göre elemeler yapın.
Infosec programınızın olgunluk düzeyine göre kuruluşunuzun hedeflerini ve önceliklerini iletin. Çok fazla bilgi vermeyin, fakat aynı zamanda onlara üzerinde çalışacakları hiçbir şey vermeyerek de zamanlarını boşa harcamayın. En iyi değerlendirmeler şirketin hedeflerine göre uyarlanır ve güvenliği geliştirmeye devam etmek için açıkça tanımlanmış “sonraki adımların” belirlemesine yardımcı olan eyleme geçirilebilir sonuçlar üretmelidir.
Katılım Kurallarını Belirleyin
Bir tedarikçi seçtikten sonra, işin kapsamını ve katılım kurallarını belirleyin.
Örn: Regulasyona dayalı bir değerlendirmeyi seçtiyseniz, çalışma kapsamına yasal gerekliliklerin ötesinde hiçbir şey dahil etmeyin.
Teradikçi ile birlikte, benimseyecekleri yaklaşımı ve test sırasında neye öncelik vereceklerini (veya çalışma kapsamlarını) belirlemek için çalışmalar yapın.
Örn: Değerlendirme sırasında bir şeyler ters giderse, tedarikçi ne yapmalıdır? Kimi aramalılar? Bir sistemi tehlikeye attıklarında, durmaları gerekir mi? Yoksa daha fazla sisteme erişebilmek için sürece devam mı etmeliler;
- ağda daha derinlere inmeli,
- önemli IP’yi takip etmeli
- veya daha fazla sisteme erişmeye mi çalışmalılar
Red Team ya da Blue Team yaklaşımı mı ele alınmalı? İşe başlamadan önce bu tür parametreleri değerlendirmek çok önemlidir.
Süreç Takibi için bir Plan Belirleyin
Değerlendirme devam ederken, düzenli güncellemelere ihtiyaç duymalısınız – ancak yine de tedarikçiye çalışmalarını sürdürebilmeleri için alan / süre vermelisiniz. Gerekli açıklamalara ulaşabileceğiniz veya ortaya çıkabilecek herhangi bir lojistik sorun için birincil bir iletişim noktası oluşturmak kritik.
Tedarikçi ile hangi bilgilerin paylaşılacağına karar vermek gerekir. Bunun projenin hedeflerine yardımcı olup olmayacağı veya zarar verebileceği göz önünde bulundurulmalıdır.
Sızma Testi ve Red Team Analojisi
CyberArk red team hizmetleri başkan yardımcısı Shay Nahari, sızma testleri ve red team arasında seçim yapmak için basit bir pratik kural öneriyor: Sızma testi, bir uygulama veya belirli bir sistem seti gibi açıkça tanımlanmış bir kapsamdaki güvenlik açıklarını ve ilgili açıkların kapatılması konularında yardımcı olabilir . Bununla birlikte, red team çalışması, saldırganların bir şirketin kraliyet mücevherlerinin peşinden gitmek için kullanabilecekleri belirli taktikleri, teknikleri ve prosedürleri simüle etmeye yardımcı olabilir. Red team çalışmaları, şirketinizdeki en savunmasız verilerin tespit edilmesi ve saldırganların oraya nasıl ulaşabileceğini gösterecektir.
Örnek olarak, bir şirket yeni bir ürün çıkarmayı planlıyor ve sadece ürünün stres altında nasıl mukavemet gösterdiğini görmek istiyorsa, sınırlı ve kapsamlı bir sızma testi hem daha uygun bir yaklaşım hem de daha maliyetli olacaktır.
Şirketinizin Red Team Uygulaması için Güçlü Bir ‘Kalbi’ Olup Olmadığına Karar Verin (:
Şirketler ne kadar ileri gitmek istediklerine karar vermelidir
Firmanızı ve çalışanlarınızı red team uygulamasına sokmak istediğinizden emin misiniz? Bu alıştırmalar bazen onları kötü bir pozisyona sokabilir. Bu nedenle üst düzey yöneticiler, çalışanlarının mercek altına alınmadığı veya onların işlerinden korkmadığı bir kültür yaratmalıdır.
Yönetim, ne tarz zayıflıkların ortaya çıkarılıp çıkarılamayacağı konusunda kesin kararlar almalı ve red team süreci başladıktan sonra sonuçlarına soğuk kanlılıkla tepki vermelidir.
Mehmet Türker
Technical Account Manager & Cyber Security Engineer
Endpoint Bilgi Teknolojileri Güvenliği ArGe A.Ş – 2022
LinkedIn