Pentesting Hakkında Kaçırdığımız Noktalar

Pentesting Hakkında Kaçırdığımız Noktalar

Pentesting Gibi Görünen Ama Olmayan 6 Araç

“Pentesting” denilen her şey pentest değildir. Farklı gündemleri olan farklı paydaşlar için farklı metodolojiler kullanan çok sayıda farklı güvenlik testi ve aracı vardır. Pentest ve ayrıca güvenlik açığı değerlendirmesi, uyumluluk denetimi ve diğer biçimleri içeren güvenlik testleri daha da geniştir. Pentesting türleri ile pentest olarak adlandırılan ancak temelde farklı olan stratejiler arasındaki farkları inceleyeceğiz.

İlk olarak, ne için test yapıyorsunuz?

Bir siber tehdit aktörü gibi, ancak güvenlik açıklarını keşfetmek amacıyla sahibinden izin alarak bir ağa veya bilgisayar sistemine sızmaya mı çalışıyorsunuz? O zaman, yaptığınız şeyin pentest olma ihtimali vardır. Bir tür güvenlik standartları kontrol listesi kullanıyorsanız ve siber saldırıları simüle etmeden güvenlik açıkları arıyorsanız, bu bir güvenlik açığı değerlendirmesidir. Kulağa bariz geliyor, ancak bazı kuruluşlar, güvenlik açığı değerlendirmelerini yanlış bir şekilde pentest olarak adlandırarak satmaya çalışıyor. Pentestler, güvenlik açığı değerlendirmelerinden “daha iyi” değildir; bunlar farklı türde güvenlik testleridir. Her biri farklı problemler için en iyi çözüm olabilir.

Pentesting

Pentesting, özel olarak eğitilmiş kişilerin siber saldırıları simüle etmesidir. Uygulamaları, komut dosyalarını kullanabilir ve hatta sosyal mühendislik ve fiziksel güvenlik sızma testi gibi analog faaliyetler yürütebilirler. Gücü ve zayıflığı, testi yapan insanlar ve üzerinde çalıştıkları platformdur. Etkili bir platformda iyi testçiler olmadan, test alıcıyı güven içinde bırakmayabilir. Geleneksel pentesting, yalnızca birkaç kişinin becerilerine dayanır ve veri değil, okunabilir bir rapor verir. Synack, mümkün olan en iyi pentest için en iyi platformda en iyi test kullanıcılarını toplamak için kuruldu. Bir pentestin çıktısı – en azından Synack stili – bulgulara, iyileştirme bilgilerine, testle ilgili analitiklere ve daha fazlasına gerçek zamanlı erişimdir.

Farklı pentesting türleri, bir bilgisayar sisteminin hangi yönünün test edildiğine göre kategorize edilebilir. Ana dallar, ağ sızma testi, uygulama sızma testi, insanlarda zafiyetleri bulan sosyal mühendislik sızma testleri ve binalarda, odalarda ve benzerlerinde zafiyetleri bulan fiziksel sızma testleridir.

Pentesting ayrıca, test edenlerin erişebildiği bilgilere göre de kategorize edilir. Kara kutu testi, harici bir saldırganın bakış açısından bir hedef hakkında çok az bilgiyle veya hiç bilgi olmadan yapılır. Beyaz kutu testi, hedefin BT departmanındaki dahili bir saldırganın bakış açısıyla derinlemesine hedef bilgisi ile yapılır. Ve Greybox testi, teknik olmayan bir içeriden birinin bakış açısıyla ortaya çıkar. Siber tehditlere hazırlanmanın pentestten farklı başka yolları da vardır. Bazılarını keşfedelim.

Güvenlik Testi Metodolojileri (Pentesting Değildir)

Saldırı tekrarına veya komut dosyası oluşturmaya dayalı İhlal ve Saldırı Simülasyonu (BAS), güvenlik testi teknolojisinde nispeten yeni bir gelişmedir. Belirli açıkları simüle eden komut dosyaları, bir yöneticinin belirli bir saldırıyı test etmesi gerektiğinde yürütülebilir. Bu şekilde ekipler, saldırı modellerini ve olağandışı günlük etkinliğini nasıl tespit edeceklerini bilmek için daha iyi eğitilir. Siber güvenlik topluluğu yeni istismarlar keşfettiğinde, bu istismarları simüle etmek için komut dosyaları kullanılabilir. Bunun zaman alacağına dikkat edin, bu nedenle BAS, muhalif ticaret araçları kadar güncel olmayabilir. Test benzeri çıktı, ortamınızda kolayca komut dosyası yazılabilen açıklardan yararlanmaya sahip bilinen kaç güvenlik açığının bulunduğunun teyididir.

BAS, ekiplerin günlük sistemlerinde saldırı modellerini ve garip saldırıları nasıl tespit edeceklerini bilmelerini sağlamak için güvenlik yanıtlarını test etmek için en uygun yöntemdir. Bu, mavi ekipler için harika bir eğitim aracıdır ancak genel olarak bilinmeyen güvenlik açıklarının keşfedilmesine neden olmaz. Bu, bir kalem testi değişimi olarak görülmemelidir ve genellikle komut dosyasıyla yazılmış modeller, mevcut rakip ticari zanaatın gerisinde kalır.

Bug Bounty, yazılımınızın güvenliğini test etmek ve sorumlu ifşa ilkelerine göre şirketinize hata raporlarını göndermek için iyi tanımlanmış politikalar çerçevesinde uygulanır. Bir hata kanıtlanabiliyorsa ve şirketinizin öncelikli güvenlik açığı kriterlerine uyuyorsa, hata avcısına 50 ila 100,500 ABD Doları arasında bir para ödülü verilebilir, ancak tipik hata ödülü ödülleri yaklaşık 200 ila 1000 ABD Doları arasındadır. Değerli bir hata raporu için verilen para miktarı, şirketin bütçesinin ve kullanıcı tabanının büyüklüğü ve hatanın kritikliği gibi çeşitli faktörlerden etkilenir.

Dinamik Uygulama Güvenliği Testi (DAST), otomatikleştirilmiş bir tekniktir, ancak yalnızca çalışan uygulamaları test etmek içindir. Bu nedenle, genellikle uygulama geliştiricileri tarafından kullanılan bir araçtır. DAST en sık web uygulamaları için kullanılır, ancak internete bağlı diğer uygulamalar da bu şekilde test edilebilir. İnternetteki bir web uygulaması gibi hedeflenen uygulama çalışıyor olmalıdır. Yürütülen istismarlar dinamiktir, bu nedenle penetrasyonun ilerlemesine bağlı olarak rotayı değiştirebilirler.

Risk değerlendirmelerine bazen tehdit değerlendirmeleri denir. Bir risk değerlendirmesinde güvenlik ekibiniz, kuruluşunuzun veri varlıkları ve bu varlıkların hem siber saldırılar hem de doğal afetler ve kazalar gibi kötü amaçlı olmayan tehditler tarafından nasıl tehdit edilebileceği hakkında bildikleriyle işbirliği yapar. Riskler, oluşma olasılıklarına ve yol açabilecek zararın miktarına göre belirlenir, tahmin edilir ve önceliklendirilir.

Statik Uygulama Güvenliği Testi (SAST), DAST ile aynı hedeflere sahiptir, ancak üretim modunda çalışan uygulamalar için değil, derlenmeden önce uygulama kodu içindir. Bir güvenlik açığı kaynak koddan anlaşılırsa – hepsi değil – SAST tarafından tespit edilebilir.

Masa üstü egzersizler, esas olarak, bir savunma güvenlik işlevi olan olay müdahale ekipleri içindir. İyi yapıldığında eğlenceli bir mücadele olabilir ve olay müdahale grubunuzun siber tehditlerle daha büyük bir güvenle yüzleşmesine yardımcı olabilir. Tatbikatta belirli saldırılar öneriliyor ve ekibin siber tehdidi nasıl önlemeleri, azaltmaları veya kontrol altına almaları gerektiğini bulması gerekiyor. Bayrağı Yakala kırmızı takım için ana eğitici oyunsa, masa üstü mavi takım için ana eğitici oyundur. Çıktı daha kendinden emin ve hazırlıklı bir ekip. Bazen, bir kuruluşun tehdit modellemesi için iyileştirmeler de ortaya çıkar. Ancak bu alıştırmalar sırasında gerçek güvenlik açıkları sıklıkla bulunmayacaktır.

Bu ve diğer yeni teknolojiler (özellikle yapay zeka ve makine öğrenimi), güvenlik liderleri için faydalı araçlardır.

Bilgisayar bilimcileri, bilgisayarların yalnızca rastgeleliği simüle edebildiğini bilirler, aslında rastgele olmak için canlı bir varlık gerekir. Ve Synack Red Team gibi insan sızmacılar, insan siber saldırganlarını ve düzenli olarak buldukları ciddi açıkları simüle etmede en iyisidir.

Yorum yok

Sorry, the comment form is closed at this time.