Sızma Testi Bir Zorunluluk Mu ? Yoksa Katma Değer Mi ?

31 Mayıs 2019
0 Paylaşımlar

Koşmaya başlamadan önce yürümeyi öğrenmelisiniz. Bir sızma testini düşünmeden önce bu sızma testinin neden yapılması gerektiğini anlamanız gerekmektedir. Kurumun bilgi güvenliği olgunluk seviyesinin bir bütün olarak net bir şekilde görülmesine ek olarak, iş ihtiyaçlarının ve risklerinin derinlemesine bir şekilde anlaşılması gerekmektedir. Bu görüşlere dayanarak sızma testini yapmak mümkündür. Bir penetrasyon testinin iş hedeflerine ulaşmak için doğru araç olup olmadığını ve kuruluşun bu sızma testinin sonuçlarından yararlanmaya hazır olup olmadığının değerlendirilmesi gerekmektedir.

Herhangi bir projede olduğu gibi, kuruluşların bu projeden en iyi şekilde yararlanmasını sağlamak için bazı önkoşullar vardır. Sızma testi istisna değildir. Birçok kuruluş sızma testinin amacının teknik boşlukları tespit etmek ve düzeltmek olduğunu düşünmektedir. Ancak, belirlenen güvenlik açıklarını düzeltmek bir kuruluşu daha güvenli yapmaz. Bunun nedeni, bir penetrasyon testinin genellikle kapsam, süre, bütçe ve yaklaşım açısından sınırlı olması ve penetrasyon testi sırasındaki mevcut güvenlik açıklarını yansıtmasıdır.

Kurumların risk iştahlarına ve tehdit aktörlerine göre ayarlanmış bir temel güvenlik olgunluk seviyesine sahip olmaları gerekir. Birincisi, bu seviyenin kuruluşun saldırıya uğradığı sistemlerin dinamikleri ve stresi ile başa çıkmak için gereklidir. İkincisi, sızma testiyle, işletme riski, artık risk, kök neden ve alınan derslerin tüm bulgularının tamamını anlamak için gereklidir.

Bir sızma testi sadece teknik açıkları bulmak ve onları düzeltmekle kalmaz, aynı zamanda BT ortamının uygunluğunu, güvenlik açıklarının etki ve kök nedenini ve bunların nasıl çözüleceğini anlamakta da bize fayda sağlar. Ama sızma testleri aynı zamanda bu kadarla sınırlı kalmayıp,  kırılganlıkların neden oluştuğunu ve bir işletmeyi geliştirmek için nasıl yararlanılabileceğini değerlendirerek gelecek konulara da odaklanır.

Sızma testlerinin kapsamını belirleme ve belirli bir test tipi seçme sürecinde, birçok sorunun cevaplanması gerekir.

  • Kuruluşumun bir iç ekip veya dış ekip tarafından gerçekleştirilen bir sızma testine ihtiyacı var mı?
  • Yoksa iç ve dış kaynaklar birleştirilmeli mi?
  • Hangi yaklaşımı kullanmalıyım: beyaz kutu, gri kutu, kara kutu?
  • Hangi ortam kullanılmalı: üretim ya da kabul?
  • Sızma testleri sürekli mi yoksa zaman zaman mı yapılmalı?
  • Kuruluşum aksama sürelerini karşılayabilir mi?
  • Sızma testine kısıtlamalar koymalı mıyım yoksa testçilere tam özgürlük vermeli miyim?
  • Bir penetrasyon testinin BT ortamının performansını ve kullanılabilirliğini etkilemediğinden nasıl emin olabilirim?
  • Sızma testçilerinin ne yaptıklarını bildiğinden nasıl emin olabilirim?

İş sahipleri teknik personelleri ve sızma test ekibinin tüm bu soruların cevapları üzerinde anlaşması gerekir.

Ne yazık ki, her zaman tek bir çözüm yoktur. Doğru çözümü bulmak için, ana iş paydaşları ile sızma testi ekibi arasında dürüst (ve iyi bilgilendirilmiş) bir sohbete ihtiyaç vardır. İşi ve ihtiyaçlarını anlayabilmek, dürüst, doğrudan olmak ve aynı dili konuşabilmek, katılımın başarısı için kilit bir öneme sahiptir.

Genelde söylediklerimizin ya da bize söylenenlerin kapsamını düşünmüyoruz. “İşi ve ihtiyaçlarını anlamak, dürüst, doğrudan olmak ve aynı dili konuşabilmek” ne demek? Bu sadece bir anlaşmaya varmamız gerektiği anlamına gelmez. Bunun anlamı, ilk fikirden bağımsız olarak organizasyon için en iyi çözümü bulmamız gerektiğidir. Ne yazık ki, bu iş bizim istediğimiz kadar sık olmaz, çünkü iş genellikle tam olarak aynı hizada değildir ve sızma testi çoğu zaman sadece gözden geçirilmesi gereken bir kontrol listesinin bir parçası olarak görülür.

Bu nedenle, “işi ve ihtiyaçlarını anlama”, her şeyi sorgulama (“neden” diye sormaya devam etme) ve başkalarının bize söylediklerinin ötesinde düşünme zihniyeti gerektirir. Ancak o zaman doğru sonuçlara ulaşabiliriz. Bu sonuçlar, ilk fikirden tamamen farklı olabilir, ancak işletmeye çok daha fazla değer katacaktır. Ayrıca, ‘dürüst ve doğrudan olmak’ herkesin egolarını, olası güç savaşlarını, bireysel çıkarlarını ve üstlerinden gelen baskı, ticari hedeflere baskı veya dış etki gibi diğer faktörleri bir kenara bırakmasını gerektirecektir. Ancak o zaman, bir sızma testinin en iyi yaklaşım olmadığı anlamına gelse bile, bir kuruluşun gerçek ihtiyaçlarını, bilgi güvenliğinin gerçek olgunluğunu ve iş için en iyi çözümü tartışabilir hale geleceğiz. Sonuçta, “aynı dili konuşabilmek”, sonucu, beklenen değeri ve ilgili maliyetleri tüm paydaşlara açıklayabilmek ve bunları iş için en iyisi olduğuna ikna etmek anlamına gelir. Bu sadece yukarıda bahsettiğim iki şartı yerine getirdiğimizde yapılabilir ve bunu paydaşlarımızın konuşup anlayacağı bir dilde açıklayabiliriz.

Sonuç olarak çizilecek tek bir sonuç veya yapılan tüm sızma testlerini sınıflandırmanın tek bir yolu yoktur. Bilgisayar korsanlarının bir adım daha önüne geçebilmek adına, sistemleri onlar gibi düşünebilen ve hareket edebilen kişiler tarafından teste tabi tutmak önemli bir zorunluluk haline gelmektedir. Ancak bir sızma testçisi veya iş sahibi olsanız da, ancak birlikte hareket ederek sızma testini organizasyona değer katabilecek bir hale getirebilirsiniz.

0 0 Oy
Article Rating
0 Paylaşımlar
Yazı Etiketleri:
Yazı Kategorileri:
Genel Siber Güvenlik
Abone ol
Bildir
0 Yorum
Satır İçi Geri Bildirimler
Tüm yorumları görüntüleyin
0
Makalem ile ilgili yorumlarınız varsa lütfen yorum yapın.x
()
x
error: Uyarı: İçerik korunmaktadır !!