Bir kuruluş, güvenlik olaylarını ve ihlallerini etkili bir şekilde tespit etmeye ve bunlara yanıt vermeye her zaman hazır olmalıdır. Sadece önleyici tedbirler alarak saldırganlarla başa çıkmak için yeterli değildir. Bir kuruluşun çok yönlü bir önleme, tespit ve müdahale programı oluşturması gerekmektedir. Saldırgan bakış açısıyla bir güvenlik programı oluşturmak, kuruluşun güvenlik duruşunu iyileştirilmesine yardımcı olacaktır ve güvenlik olaylarını önleme, algılama ve yanıt verme konusundaki zayıflıklarınızı belirlemeniz de fayda sağlayacaktır.
Bir kuruluş içinde saldırgan bakış açısıyla bir güvenlik programı kurmak, varlıklarını tehlikeye atma olarak bakıldığında zorlu bir görev gibi görünebilir, ancak bir sızma testi uzmanı, lider yönetici olarak bu görevi gerçekleştirmek her zaman heyecan vericidir. Tüm kurumun güvenlik kültürünü değiştirmek, aktif olarak bir strateji tasarlamak için bu görevde olmak büyük bir fırsattır, ödüllendirici ve çok eğlencelidir.
Saldırgan bakış açısıyla hareket eden bir güvenlik ekibinin lideri ve yöneticisi tarafından ekip için net ilkeler, vizyon ve kurallar koymak kritik öneme sahiptir. Bugünkü yazımda sizlerle şeytanın avukatlığını yapacak olan bir kırmızı takım (Red Team) programında görevlerin nasıl tanımlanması gerektiğini paylaşacağım.
Büyük resimde, kırmızı bir takıma bakmanın en iyi yollarından biri onu şeytanın savunucusu olarak görmektir. Vizyon, alternatif görüşlerin dikkate alınmasını ve oluşturulan takımın sorumluluk almasını sağlamaktır. Program, fikir birliği oluşturulması esnasında gerçek kontrolleri sağlamak amacıyla oluşturulmalıdır. Bu, sadece teorik olarak değil, zayıflıkları istismar ederek ve kuruluşun risk yönetimi sürecini ve liderliğini bilgilendirerek gerçek dünyadaki etkisini göstererek yapılır.
Birçok yönden, saldırgan bakış açısıyla oluşturulan program, yazılım mühendisliği, Full-stack geliştirici ve Devops’un modern dünyasında çok ihtiyaç duyulan bir işlev olan organizasyon içinde güvenlik testi işlevini yerine getirdiği için önemlidir. Etkili bir iç saldırı güvenlik programı yürütmek için, amacı iletmek ve ekibi motive etmek basit ama ilham verici bir misyondur. Düşmanca davranışı taklit etme ve savunma amaçlı güvenlik açıklarını bulma ve kullanma çalışmaları boyunca bir misyon oluşturmak iyi bir başlangıç noktasıdır.
Savunmacı yönü vurgulamak önemlidir, çünkü profesyonel bir kırmızı takımın amacı kurumun güvenlik duruşunu iyileştirmek ve kültürel değişimi yönlendirmektir. Kırmızı takımın temel amacı, kurumun zayıf olduğu noktaları belirlemelerine, vurgulamalarına ve kurumun zaman içinde bu gelişmeleri, iyileştirmeleri ve ölçmelerine yardımcı olmaktır. Bir sorunu kendi başına bulmak ve kullanmak otomatik olarak kültürel bir değişime yol açmaz. Bu kültürel değişimi engelleyen, organizasyonun gelişmesine yardımcı olmak için mücadele eden saldırgan bakış açısıyla hareket eden bir programın en büyük tuzağıdır ve dikkat edilmesi gerekmektedir. Kültürel değişime ulaşmak ve bir kuruluşun güvenlik duruşunu iyileştirmek için, kırmızı takımın bir çeşit ölçme mekanizmasına ve KPI’larını kuruluşa ve yönetime iletmek için bir raporlamaya ihtiyacı vardır, böylece bilinçli yatırımlar yapılabilir.