İçeriğe geç

Sızma Testlerinde Metodoloji Kullanımının Önemi

Metodoloji kullanımı sızma test ekipleri için hayati önem taşımaktadır. Sızma testleri yapılırken daha önce denenmiş ve standart haline getirilmiş kurallar izlenirse daha başarılı sonuçlar elde edilir. Metodolojinin önemi ya da faydaları aşağıdaki maddelerde şu şekilde belirtilmiştir. Bu maddeler:

  • Herhangi bir saldırı öncesi mevcut güvenlik durumunun tespit edilebilmesi,
  • Olası bir saldırı durumunda sistemin ne kadar dayanıklı olduğunun tespit edilebilmesi,
  • Olası bir saldırıda ne kadar kayıp yaşanacağının tespit edilmesi,
  • Sistemde bulunan zafiyetlerinin tespit edilmesi,
  • Risk analizlerinin kolaylaştırılması,
  • İş Sürekliliğinin artırılması,
  • İstemci taraflı saldırıların azaltılması,
  • Müşterilerin, çalışanların ve iş ortaklarının korunması,
  • Uluslararası Güvenlik Standartlarına uygunluk sağlanması ISO27001.

Güvenlik personellerine izinsiz giriş ile ilgili gerçek deneyimler aktarılabilir. Penetrasyon testi, personel bilgilendirilmeden yapılmalıdır ve bir kuruluşun güvenlik politikalarının gerçekten etkili olup olmadığını test etmesine izin vermektedir. Aynı zamanda  sızma testi, bir yangın tatbikatı gibi de düşünülebilir.

Bu şekilde güvenlik politikasının eksik olan yönleri ortaya çıkarılabilir. Örneğin, birçok güvenlik politikası, bir kuruluşun sistemlerine yönelik bir saldırıyı önlemek ve tespit etmek için çok fazla odak vermektedir, ancak bu durumda bir saldırganı tahliye etme sürecini ihmal edebilir. Saldırı testi sırasında, var olan kuruluş için saldırı tespit edilirken, güvenlik personelinin saldırganı sisteme zarar vermeden sistemden etkin bir şekilde çıkaramadığını da tespit edebilirsiniz.

Böylece, en riskli yollarla şirkete ya da uygulamaya geri bildirim sağlanır. Sızma test cihazları, resmin dışında düşünür ve gerçek dünyada bir saldırganının yaptığı gibi, sisteminize mümkün olabilecek her şekilde ulaşmaya çalışır. Bu, güvenlik veya geliştirme ekibinin hiç dikkate almadığı birçok büyük güvenlik açığını da açığa çıkarabilir. Sızma testleri ile oluşturulan raporlar, gelecekteki herhangi bir güvenlik yatırımına öncelik vermek konusunda size geri bildirim sağlamaktadır.

Sızma test raporları, geliştiricilerin daha az hata yapmasına yardımcı olmak için kullanılabilmektedir. Sistemi geliştiriciler dışarıdan gelebilecek bir saldırganın, uygulamaya ya da geliştirdikleri uygulamanın bir parçasına nasıl dönüştüğünü görebilmektedirler. Bu yüzden güvenlik eğitimini geliştirmek gelecekte de oluşabilecek benzer hatalar yapmaktan kaçınmak için daha fazla motive olacaklardır.

Dolayısıyla, kurum ve kuruluşlar var olan sistemlerini, uygulamalarını ve aynı zamanda bir bütün olarak kuruluşun güvenliğini test etmek için düzenli olarak sızma testleri kullanmalıdır. İlk başta yapılan birkaç tane sızma testinde muhtemelen bazı şok edici sonuçlar doğurabilecek ve kuruluşunuzun tahmin ettiğinizden çok daha savunmasız olduğunu vurgulayacaktır. (www.securityinnovationeurope.com/blog/page/what-is-penetration-testing-and-why-it-important, Erişim Tarihi:15 Mayıs 2018)

Yukarıda verilen metodolojinin kullanımdaki faydalarını biraz daha detaylı bir şekilde incelemek gerekirse şu şekilde açıklayabiliriz.

1. Toplantı uyumu: Ödeme kartı sektörlerinde, yıllık ve devam eden sızma testleri için PCI-DSS yönetmeliklerini takip etmek amacıyla bir yetki verilmiştir. Sızma testi, işletmelerin ağ ile ilgili gerçek riskleri azaltmalarını sağlamak için vardır.

2. Gizlilik, gelir ve itibarın korunması: Verilerin gizliliğinin korunamaması yasal sonuçlara ve iyi niyet kaybına yol açabilmektedir. Bir güvenlik saldırısı, muhasebe kayıtlarını etkileyebilir ve aynı zamanda kuruluşun gelirini de engelleyebilir. Pen-testing, işletmelerin yalnızca sistemde bulunan saldırganın sistemi ihlal etmesi için harcadığı süreyi keşfetmesine yardımcı olmakla kalmaz, aynı zamanda şirketlerin içinde bulunduğu tehditlerini de düzeltmek için güvenlik ekiplerinin hazırlamalarını onaylamalarında da yardımcı olur.

3. Güvenli konfigürasyonları doğrulamak için: Bir organizasyonun güvenlik ekibi iyi bir iş yapıyorsa, onların eylemlerinden ve nihai sonuçlarından da emin durumda ise, sızma raporları bunları doğrulamaktadır. Bu durumda bir dış varlığa sahip olmak, sistemin güvenliğinin içsel tercihlerden yoksun bir halde görünüm sağlayıp sağlamadığını teyit eden bir etmen olarak hareket edebilir. Bu  dış kuruluş, ekibin verimliliğini güvenlik operatörleri olarak da ölçebilir. Aynı zamanda sistemdeki boşlukları tanımlamaya da yardımcı olur.

4. Ağ personeli için güvenlik eğitimi: Penetrasyon testi, güvenlik personelinin bir ağ saldırısını doğru bir şekilde tanımasını ve yanıt vermesini sağlar. Örneğin, sızma test cihazı, herhangi bir kimsenin bu konuda etkin bir şekilde haberdar edilmesine izin vermeden bir sistemi tehlikeye atabiliyorsa, bu durum personelin uygun olan bir şekilde güvenli izlenmesi konusunda eğitilmesinde de başarısızlık olduğunu gösterilebilir.

5. Yeni teknoloji uygulamasının test edilmesi: Teknolojinin test edilmesi durumu, üretim aşamasına başlanılmadan önceki mükemmel bir zaman olarak kabul edilmektedir. Yeni oluşturulan teknolojilere yönelik bir sızma testi yapmak, üretime geçmeden önce zaman ve paradan tasarruf edilmesini sağlar. Çünkü uygulama başlamadan önce güvenlik açıklarını ve boşluklarını düzeltmek daha kolay bir durumdadır. (www.testingxperts.com/blog/5-Reasons-Why-Penetration-Testing-is-Important, Erişim Tarihi: 15 Mayıs 2018)

 

Tarih:Siber Güvenlik

İlk Yorumu Siz Yapın

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir