Formula-1 analojisi ile bir sızma testinden en iyi şekilde yararlanmak

Formula-1 analojisi ile bir sızma testinden en iyi şekilde yararlanmak

Çok fazla güvenlik çıktısı konuştuğumuz bu günlerde blog yazmızı iyi bir sızma testi planlaması ve güvenlik hazırlığı noktasına çekmek istiyoruz. En iyi hazırlık nasıl yapılmalıdır? parametreleri nelerdir? Birçok güvenlik sorunu ve beraberindeki teknolojik yükü ve riskleri konuştuğumuz noktada çok sayıda belirsizliklerle yaşayarak kurumsal ağları ayakta tutmaya çalışıyoruz.


Bu yazıda Formula-1 analojisine üzerinden konuya değinmek istiyoruz, bildiğiniz gibi Formula-1 teknolojik rekabet, takım oyunu ve performansın en uç noktalarda yaşandığı, her aşamasında zorlukları olan dünya üzerindeki en zor yarışmalardan birisi olduğu açık. Her alanda olduğu gibi Formula 1’de en hazırlıklı takımların başarı şansı en yüksek olanıdır. Buna rağmen rekabatte önemli şans faktörleri de olmuyor değil, yine de standart bir hazırlık tek başına bir zaferi garantilemek için yeterli olmayabiliyor. Yarışmadaki birçok faktör öncelikle bitiş çizgisini geçmeye teorik olarak katkıda bulunur, bunun dışında yarışmanın analizi, araç takip koşulları, hava durumu, araç kurulumu, strateji değişiklikleri ve çeşitli güncellemelerin yanı sıra birçok değişken ile yarışmanın sonucu belirlenir. Bu bağlamda öngörülebilir risklerden emin olmalı, tahmine ya da öngörüye dayalı çıktılar yerine, tüm bu değişkenleri verilerle ifade edip bu bağlamda değerlendirme yaparak tüm planlama ve staratejiyi bu detaylar üzerinde yapılandırmak gerekmektedir.


“Çıktıları doğrulanabilir gerçek bir sızma testi de bundan farklı değildir.”


Bir Formula 1 şampiyonu olabilmeniz için tüm riskler karşısında tüm rakiplerinizden daha iyi hazırlanıp gelebilecek risklere karşı egzersiz yapabilme kabiliyeti çok önemlidir, ancak kritik nokta test boyunca sorunsuz bir süreç planlaması ve yetkinlikleriniz olmadan başarılı olamanız pek olası değildir. Inforte olarak distributorlüğünü yaptığımız Synack penetrasyon testlerinde de durum bu şekildedir. Tıpkı Formula-1 analojisinde olduğu gibi, konusunda uzman çok sayıda güvenlik araştırmacısı ve etik hacker güvenliğinizi en uç noktalarda tamamen saldırı perspektifi ile doğrulamak için geleneksel sızma testlerine göre 2–5 kişi yerine 40–60 kişi bunu en detaylı şekilde yapılandırmak için sızma testini gerçekleştirir, crowdsourced pentest’in altındaki en önemli faktörlerden birisi budur. Bir diğeri ise en iyilerin en iyisi ile çalışmaktır. Synack bu noktada dünya üzerindeki en iyi ve güvenilir (top %10) ile çalışarak Synack SRT ekibini oluşturmuştur.


Etkili bir sızma testinde beklenmesi gereken bazı faktörleri aşağıdaki gibi tanımlanabilir:


Pentest’de en önemli faktör: yüksek kaliteli ve güvenilir ‘Güvenlik Araştırma’ ekibinin varlığı


Araştırmacıların becerileri ve güvenlik araştırması geçmişi, herhangi bir pentestin başarısı için kritik öneme sahiptir. Güvenlik açığı/zafiyetleri kavramı çok geniş ve çeşitli olduğundan, tek bir araştırmacı ya da az sayıda araştırmacı — tüm güvenlik açığı kategorilerinde sızma testi kapsamı içerisindeki bütün kapsamı tam olarak test edecek uzmanlığa sahip olamayacak, olsa bile derinliği olmayacaktır. Benzer durum geleneksel sızma testi çalışmaları dışında, offensive güvenlik üzerine çalışan tüm kırmızı takım(redteaming) çalışmaları, diğer pentest otomasyon yazılımları ve atak simulasyonu gerçekleştiren BAS (Breach and Attack Simulation) kapsamı için de geçerlidir. Asıl bağlam buradaki güvenik teknolojileri için oluşturulan güncel atak veri seti, güvenlik araştırmacıları için yetkinlik ve deneyimler için de geçerlidir.


Synack crowdsourced pentest (sızma testi) farklılığı burada ortaya çıkmaktadır. Çünkü çok çeşitli yetkinliklere ve geçmişe sahip konusundaki en iyi araştırmacılar sürece dahil edilmektedir. Klasik bir sızma testinde ortalama harcanan zaman ortalama 150–200 saat arasında iken Synack SRT’de bu sayı ortalama 350–450 saat arasındadır. Bu durum çok sayıda araştırmacının yetkinliklerini detaylı olarak çalıştırarak kapsam dahilindeki tüm varlıkların olabilecek en kapsamlı şekilde testini mümkün kılmaktadır.


Tüm sonuçların güvenilir, iyi müşteri deneyimi sunan bir platform üzerinde toplanması


Geleneksel sızma testleri bazen oldukça kaotik ve sonuçların değerlendirilmesi noktasında çıktıları açısından sıkıntılı olabilmektedir. Synack oldukça kapsamlı bir güvenlik açığı yönetimi platformu sunarak, tüm sızma testi sürecinin temelini oluşturarak ve müşterilerin ilk raporlardan, detaylı analiz çıktılarına ve ardından güvenlik iyileştirme önerilerine kadar tüm güvenlik açığı yaşam döngüsünü yönetmesine olanak sağlamaktadır. Synack’te müşteri portalı, keşifedilen güvenlik açıklarından ve yama doğrulamaya kadar tüm sürecin içerisine tamamen doğrulanabilir ve denetlenebilir şekilde kullanımı ve kolay iş akışı yönetim arabirimi ile güvenlik açıklarını müşterinin ilk andan itibaren analiz edebilmesine olanak tanır. Bunun için son raporlamayı göremeniz gerekmez.


Bu süreçlere ek olarak; Synack Triage ile, sızma testi kapsamında paylaşılan güvenlik açığı bulgularının geçerli, yeniden tekrarlanabilir, kaliteli ve aksiyon alınabilir çıktılardan oluşmasını sağlamaktadır. Bu durum, kurumların sızma testi çıktılarından maksimum seviyede yararlanmalarını ve uygun güvenlik önlemleri almaya odaklanmasına olanak tanıyarak önemli ölçüde zaman ve verimlilik tasarrufu sağlamaktadır.


Test ortamı ve değişkenleri kontrol altında tutabilmek


Bazı sızma testleri gereksiz seviyede ofansif ve gerçek güvenlik riskleri ile adreslenemeyecek seviyede olabilir. Bazen zayıf güvenlik çıktısı göstermek için normal şartlarda oluşması mümkün olamayacak güvenlik riskleri masaya yatırılabilmektedir. Ofansif güvenlikte ingilizcesi ‘In the Wild’ ‘vahşi hayat’ olan yaklaşım, bulunan bulguların tehdit aktörleri tarafından yapılabilir, gerçek bir atak zincirinin bir parçası olabilecek ve reel olarak karşılaşabileceğiniz bir bağlamda sunulması gerekir. Eğer buna dikkat edilmez ise hiç bir zaman size ulaşmayacak ve mantıksal olmayan teknik detaylarla uğraşmanız anlamına gelir ve etkili bir sızma testi kapsamından sizleri uzaklaştırır. Örnek olarak bir APT atak zincirinin bir bölümünü alarak buradan zayıflık analizi çıktısı üretmek ya da buradan bir profillendirme yaparak güvenlik açığı çıktısı üretmek gibi, APT atak zincirinin önemsiz olduğunu söylemeye çalışmıyoruz ancak normal şartlarda bir APT atağı tüm zinciri tamamlayanana kadar genel olarak kendi nihai amacını tamamlayamayacak ve atak zaten normal şartlarda başarısız olacaktır, bunun bir bölümünün teknik bazında ifade edilerek tüm atak zinciri ile bağlamının koptuğu noktada çok anlamı olmayacaktır.


Buna ek olarak Synack deneyimi, bir sızma testi sürecini olabildiğince etkili, basit ve sorunsuz hale getirmek için tasarlanmıştır. Kurumların günlük iş operasyonları üzerindeki her türlü etkiyi azaltmak için tüm sızma testi sürecini kontrollü bir şekilde yürütür. Synack SRT takımı, uygun izleme sağlamak için bilinen bir kaynak IP’den çalışır. Kurumların test sırasında tüm etkinliği ve trafiği izlemesi sağlanır, buna ek olarak Synack AppLauncher platformu tüm aktiviteleri izlemenizi için detaylı audit ve DPI(Deep Packet Inspection) mekanizmasını içeren yapıdadır. Geleneksel sızma testi ve diğer çözümlerden bağımsız olarak, oldukça kapsamlı, güvenli ve doğrulanabilir sızma testi deneyimi yaşatır. Bu sayede sızma testi sırasında tüm kontrol sizin elinizdedir.


Testten önce ve sonra güvenlik araştırmacıları iletişim


İdeal bir sızma testi salt otomatize saldırı içeriklerinden oluşmaz, bir saldırının salt atak değişkenlerinden oluşmadığı gibi (Pre Attack Phases). Kurumlar sızma testi sırasında kapsamdaki olabilecek değişikliler, güvenlik altyapısı tarafındaki değişikler hakkında SRT takımı ile sürekli iletişim halindedir. Bu odaklanma güvenlik araştırmacıların sadece gerekli olan kapsam alanlarına yönelerek sızma testinin etkili ama hızlı şekilde amacına ulaşmasını sağlayacaktır.


Kapsam değişiklikleri, kritik önemdeki bir iletişim alanıdır. Örnek olarak pentest süresince aynı temel güvenlik açığından kaynaklanan bulgular, eğer çıktı yeterli ise, kapsamadan geçici olarak çıkartılabilir bu sayede araştırmacıların odağını diğer kritik alanlara kaydırarak daha iyi ve etkili kapsama alanı çıkartmaktadır.


Akıllı otomasyonlarla manuel testing etkinliğini arttırılması


Bir sızma testi, iyi bir değer yaratmak için insan yaratıcılığından maksimum oranda yararlanır. Ancak otomatik araçlarda insan eforunun efektif kullanmaya yardımcı olmak için önemli bir öneme sahiptir. Makine Öğrenme tabanlı güvenlik taramaları ya da güncel bir imza setine sahip güvenlik taramaları bir seviyeye kadar sızma testlerinde güvenlik araştırmacılarına yardımcı olmak için sıklıkla kullanılmaktadır. Bununla birlikte, güvenlik takımları ağlarda büyük saldırı yüzeyini hızlı şekilde analiz etmek için çeşitli teknolojileri bir arada kullanmaktadır. Bir sızma testini etkili kılan şey her güvenlik açığı üzerine güvenlik araştırması yapmak yerine, ‘exploitable’ dediğimiz tehdit aktörleri tarafından zararlı kod geliştirilen ve yeni gelişen tehditler kapsamında olan (Emerging Threats) tehditleri önceliklendirmesi ve bulunan zayıflıkların güvenlik iyileştirme süreçlerini hızlandırarak güvenlik takımlarını hızlandırması önemlidir. Diğer bulunan açıklıklar da kritik olabilir, ancak bu noktada iyi bir önceliklendirme önemli olmaktadır.


Synack Smart Scan mimarisi ile birçok güvenlik tarama ürünlerinden ayrılarak makina öğrenme tabanlı olarak testlerin oldukça basit ve etkili şekilde gerçekleştirerek kurumların kaliteli Triage ve Synack SRT güvenlik araştırma ekibini yüksek seviyede çıktı sağlayarak sızma testlerinin en optimum şekilde yapılandırılmasını sağlamaktadır.


İstenmeyen sonuçların olasılığını kabul etmek


Her sızma testinde güvenlik araştırmacıları istenmeyen etkilerden her zaman kaçınmaya çalışır ya da çalışmalıdır, çünkü önemli olan sızma testinin belirlenen kapsam içerisindeki etkinliğidir. Birçok sorundan doğru ve net bir kapsam tanımlanarak birçok risk elimine edilebilir. Bu nedenle doğru kapsam ve deneyimli-kaliteli güvenlik araştırma ekibi ile çalışmanız oldukça kritik olmaktadır.


Her zaman kazanımlarınızı ödüllendirin ve hatalardan ders çıkarın


Sızma testi çalışmalarında kurumların doğrulanmış bulgulara göre hareket etmek ve bunları önceliklendirebilmek çok önemlidir. Hiçbir güvenlik açığı aynı oranda kritik olmadığı gibi etkileri de farklı olabilmektedir. Bununla beraber bir atağın zorluk seviyesi ve bunun karşısındaki savunma postürünüz durumu ve bunu ölçebilmek güvenlik yatırımlarınız ve efektifliği konusunda oldukça detaylı fikirler verecektir. Synack bu noktada sızma testlerinde ARS (Attack Resistance Score-Saldırı Direnc Puanı) sağlayarak siber dayanıklılık durumunuzu ölçmenize ve değerlendirmenize yardımcı olmaktadır.


Diğer yandan güvenlik açıklarını sadece keşfetmek, bir kurumun risk durumunu iyileştirmez. Güvenlik açıkları en kısa sürede iyileştirilmeli ve düzeltilmelidir. Bir güvenlik açığının bağlı risklerini diğer bir anlamda bir atak zinciri içerisinde nasıl kullanıldığını anlamak ve diğer risklerle ilişkilendirebilmek de bir o kadar kıymeli olacaktır. Terminolojide ‘InterConnected Risks’ olarak adlandırılan çıktının analizi kritik önemdedir.


Synack’in portal üzerinden ARS-Saldırı Direnç Puanı gibi bir risk ölçütü kullanarak sızma testi performansınızı gerçek metriklerle ifade edebiliyor olamanız güvenlik ölçüm ve değerlendirmeleri için önemlidir. Diğer taraftan geleneksel çözümlerden farklı olarak uzun vadeli sızma test çalışmalarında kurumlar test tamamlanana kadar beklemek zorunda kalmamalıdır, bazen çok kritik bir güvenlik açığının aksiyonunu dakikalar/saatler içerisinde almak sizi büyük bir güvenlik vakasından kurtarabilmektedir. Bu nedenle sızma testi süresince güvenlik araştırmasıcı onaylı güvenlik açıklarına Synack Portal üzerinden sızma testi süresince erişebilir ve test süresince güvenlik iyileştirmelerinizi anlık gerçekleştirebilirsiniz.


Bir sızma testinin regulasyonlara ve kurum için güvenlik prosedürlerine uygun olarak yapılması önemlidir. Bu kriterlere uygun olarak çalışmaların yapılması sızma testinin önemli başarımlarından birisi olmalıdır. Synack, kurumların OWASP, PCI DSS 11.3 ve NIST SP 800–53 kitapcıkları dahil olmak üzere uyumluluğu kontrol etmeyi içeren sızma testlerini gerçekleştirebilmektedir.


Süreklilik


Formula 1 analojisinde olduğu gibi bir yarış bittiğinde iş bitmiş sayılmaz. Siber güvenlik süreçleri de iş süreçleri gibi sonsuz ve değişken döngüye sahiptir. Her zaman koşacak daha fazla yarış ve bir adım önde olmak için yapılacak daha fazla iş ve iyileştirme vardır. Bu durum sızma testleri için de geçerlidir.


Geleneksel sızma testi 100% insan eforuna dayandığı için tekrarlanabilirliği zayıf ve sürekliliği azdır. Bu nedenle etkisi belirli bir zaman aralığında değer taşır. Siber güvenlik dünyasında ise devamlı her gün, her saat diliminde yani tehditleri ve varyasyonlarını hızlıca değerlendirmemiz gereken bir yapının içerisinde yaşıyoruz.


Siber güvenliklerinde bir adım önde olmak her zamankinden daha kıymetlidir, bu nedenle sürekli sızma testi uygulaması bunun en kritik bileşenini oluşturmaktadır. Bir kurum ağı ancak en zayıf halkası kadar güçlüdür, ortalama bir enterprise ölçekte bir kurum 40–60 arasında güvenlik teknolojisi bir arada kullanmakta bununla baraber bir çok ön görülemeyen karmaşıklığı güvenlik operasyonları içerisinde beraberinde getirmektedir (Complexity), bu nedenle saldırılara zamanında cevap verebilmek saldırılar kadar hızlı olamamaktadır. Synack 365 ile sızma testlerinizi 7/24/365 olarak sürekliliği sağlayabilir, Synack SRT takımının sürekli olarak çıktı üretmesini sağlayabilirsiniz.


Peki Defense in Depth-Defans Derinliği?


Siber güvenlikte eski yıllardaki katmanlı güvenlik yaklaşımının (Defense in Depth) artık sanıldığı kadar çok efektif olmadığını görmekteyiz. Önemli olan minimum kaynak kullanımı ile maksimum verimliliği yakalamak olmalı ki, güvenlik efektifliği konusundaki istatistikler çok iç açıcı değildir. Bu nedenle anlamlı bir risk optimizasyonu yapmak, yatırımları ölçebilmek ve bundan daha değerlisi tüm saldırı yüzeylerine karşı ayakta kalabilmek sürekli bir sızma testi yapısını beraberinde getirmekte ve mevcut yatırımların daha akıllıca yapılıp verimliliğinin en üst seviyede kullanılması mümkün olabilmektedir.


Güvenlik başarısı, güvenlik açığı riskinde genel bir azalma gibi genelde gözüksede, aslında çok basit güvenlik açıkları ile tüm yatırımlarınızı işlevsiz kılmak bir o kadar mümkün. Tüm güvenlik açıklarını ortadan kaldırmak imkansız olsa da, süreklilik ve bu konudaki iyileştirme güvenlik operasyonlarınızı daha ölçülebilir ve dirençli yapacak, potansiyel bir saldırı durumunda güvenlik duruşunuzu ve saldırılara cevap verme performansınızı önemli ölçüde arttıracaktır.


Diğer çözümlerle karşılaştırma


(Crowdsourced) tabanlı sürekli sızma testi altyapısı insan eforu ile teknoloji birleşiminden oluşan Synack’in liderlik ettiği yeni bir oluşum olup, geleneksel sızma testi, bug-bounty ve güvenlik araştırması çalışmalarının en iyi formunu oluşturmaktadır. Otomatize atak simulasyon/emulasyon altyapısı sunmaya çalışan BAS(Breach and Attack Simulation) ya da otomatik sızma testi araçları ile karışıtırılmamalıdır. Bu alanlar bir sızma testinden daha çok emerging atakların bir örnek payload’u oluşturan, daha sınırlı, atak karakterisliği açısından örneklemeye dayalı, tekil vektör bazlı olarak yapılandırılan örneklemelerden oluşmakta ve çıktısı sınırlı olmaktadır.


Diğer bir unsur ise bu çeşit simulasyon ve pentest otomasyon araçlarının çıktıları genellikle veri tabanlarında büyük kısmı hali hali hazırda üretilmiş CVE tabanlı senaryolarla yapılandırılan tekil(Atomik) ya da Malware-Zararlı Kod senaryolarından oluşmaktadır. Bu nedenle gerçek bir güvenlik araştırması çıktısından herzaman yoksun olacaktır. Bunun yanında, Synack’de durum çok gerçektir; SRT takımı ile bulguların %40’lik dilimi non-CVE güvenlik bulgularından oluşarak bug-bounty tadında kurumlara özel güvenlik çıktısı üretebilmektedir ve bu nedenle geleneksel sızma testi ve otomatize araçlardan pozitif olarak ayrılmaktadır.


Bir başka yazıda yeniden görüşebilmek dileği ile…

Yorum yok

Yorum yaz

Yorum
İsim
E-Mail
Website

Inforte Bilişim A.Ş. tarafından işbu form ile elde edilen kişisel verileriniz esas olarak iş süreçlerimizin iyileştirilmesine yönelik çalışmaların yürütülmesi amacıyla işlenebilecek ve yurt dışında yerleşik hosting firmamıza aktarılabilecektir. Mevzuat kapsamındaki haklarınız ile ilgili diğer detaylara ilişkin aydınlatma metnine buradan erişebilirsiniz.