Modern İş Akışlarında Sızma Testinden (Pentest) Nasıl Yararlanılır?

Penetrasyon ya da sızma testi olarak da bilinen pentest, güvenlik durumunu kontrol etmek için bir uygulama (web, mobil, API) veya ağa yapılan saldırı simülasyonlarının değerlendirmesi/analizidir.

Amaç, uygulama veya ağdaki söz konusu güvenlik açıklıklarının kötü niyetli kişiler tarafından istismar edilmesini önlemek ve sistemleri daha güvenli hale getirmektir. Bunlar genellikle bir saldırganın gizliliği, bütünlüğü veya kullanılabilirliği etkilemek için yararlanabileceği zayıflıklar veya kusurlardır. Bu test ile yapılan güvenlik açıklarını bulmak ve kötü niyetli kişiler bunları istismar etmeden önce bunları ele almaktır.

Pentest, şirketlerin genel güvenlik duruşunu güçlendirmek ve güvenlik ihlallerini önlemek için proaktif olarak uygulamaya koymaları gereken kritik bir önlemdir. ABD’li CRM çözümleri firması Cobalt’ın Müşteri Pazarlama Lideri Colleen Pate, siber güvenlik programında pentest uygulamasının rolünü ve bunun modern iş akışlarına nasıl uyacağını daha iyi anlamak için çalışmalar yapıyor. Pate, pentest uygulamasının siber güvenlik programına nerede uyduğunu ve genel olarak bir güvenlik programı oluşturmaya nasıl yaklaştıklarına dair şunları aktarıyor:

“Sıfırdan bir güvenlik programı oluşturmak zorunda kaldığınızı hayal edin. Kulağa harika geliyor, değil mi? Bu programı inşa edeceğiniz şirkete vardığınızda, başka bir kurumda yapılmamış olduğunu varsaymış olabileceğiniz farklı uygulamalar olduğunu görürsünüz. Belki aralıklı olarak ya da normalde beklediğiniz titizlik olmadan yapılıyor da olabilir bu uygulamalar. Bu, yeni bir pozisyona geçtiğinde her güvenlik liderinin başına gelebilecek bir durumdur. Bu şirket bir teknoloji şirketi ise şirkete özgü olan ve müşteri profillerini, kullandıkları teknolojileri ve sahip oldukları benzersiz zorlukları dikkate alan bir programa ihtiyacınız olacak. Elbette, listeyi kontrol ettiğinizden emin olmak için istediğiniz şeyleri yanınızda getirdiğiniz standart bir menünüz olacak. Uygulama güvenliği alanında ise bu işte birlikte çalışmak istediğiniz kişileri seçerken konu ile ilgili yetkinlikleri, kodlama geçmişleri gibi kriterler üzerinde kafa yormanız gerekecek. Elbette hem müşterilerin hem de genel olarak kullanıcıların bu süreç ile ilgili titiz bir operasyon yönetimi beklentisi de söz konusu olacak. Bu konuda objektif bazı yorumlara ihtiyacınız olabilir.”

Tüm bu süreçleri planlayıp, uygulama güvenliği departmanınızı kurarken, şirketin farklı departmanlarından tüm mühendis kadrosu ile birlikte çalışma ve fikir alışverişi yapma fırsatınız olacak. Siz onlara güvenli kodlamayı öğretirken, sonrasında eksikleri ve zaafları ortaya koyabilmek onların değerlendirmeleri çok önemli.

Hata ödülü programı her zaman işe yarar

Bir hata ödülü programı tasarlayabilirsiniz. Bug bounty (hata ödülü) kurumsal ya da bireysel amaçlı faaliyet gösteren internet sitelerinin altyapısındaki hataları tespit edip, düzeltme karşılığında verilen ödül yarışmaları olarak tanımlanır.

Uygulamanızda bir kusur veya eksiklik varsa siber suçluların ne kadar ileri gidebileceklerini görmek için işe yarar programlar arasındadır. Bu çalışma sırasında güvenlik açısından sorun yaşamamak için güvenli kodlar oluşturularak riskler azaltılır. Ekibinizdeki güvenlik uygulayıcıları, düzeltilmesi gereken sayısız şey görürler, ancak bir hata ödülü araştırmacısı dışarıdan bir göz olarak çok daha kritik tespitler yapabilir. Hata ödülü, neredeyse tüm dijital mecralarda güvenlik açıklarının yok edilmesi için nitelikli ve faydalı bir sistem olarak görülür.

Dışarıdaki insanlarla olan bir diğer önemli iş birliği test şirketleriyledir. Müşterileriniz sizden bir hata ödülü programı geliştirmenizi beklerken, aynı zamanda sızma testlerin genel olarak doğru bir şekilde uygulanmasını bekleyecekler. Müşteriler, yılda 1-2 kez, uygulamadan geçen ve sistematik olarak kusurları arayan, bunları raporlayan ve sonuçlar üreten akredite ve güvenilir bir pentest sistemi olduğunu bilmek istiyor. Zayıf yönler üzerinde tekrar tekrar geçilerek yapılan bu test neticesinde üretilen bu rapor zaman alır ama son derece önemlidir.

Birden fazla test şirketi ile çalışmak da bir seçenek

Firmanızın kalitesine bağlı olarak, sızma testleri deneyim konusunda size yeni rota çizebilir. Sonuç almak artık test yapmayı bırakacağımız anlamına gelmez, ancak bir hata ödülünün yanında devamlılığı olan bir pentest programına sahip olmak fazladan iş ve maliyet demektir. Bu noktada daha az maliyetli ve daha az yorucu bir sızma testi uygulamasını hayata geçirebilirsiniz.

Profesyonel firmalarla çalışmak sızma testi konusunda çok daha hızlı ve verimli sonuçlar elde etmenize yarayacak. Süreci elbette kendi başınıza da planlayabilir, istediklerinizi listeleyebilir ve kendi şartlarınız dahilinde bir test süreci geliştirebilirsiniz. Ancak iş akışını profesyonel bir partnere emanet etmek çok daha doğru bir adım olacaktır. Bir diğer seçenek birden fazla test şirketi ile çalışmaktır. Bazı müşterileriniz sizi değerlendiren birden fazla firma olup olmadığıyla da ilgilenebilir.

Birbirinden ayrı geçmişlere sahip test şirketlerinin segment uygulamasına girmesine izin vermek size farklı sonuçlar verecektir. Farklı yorumlar almak ve uygulamanızı apayrı görüşlere sahip kişiler ile simule etmek, sürecin daha kusursuz çalışmasında önemli katkı sağlayabilir.

Sızma testi her zaman güvenlik listenizde yer almalı. Güvenlik konusunda çok deneyimli bir ekibiniz olsa bile her zaman kör noktalarınız olacaktır. Tüm uygulama güvenliği parametrelerini oluştursanız bile, teste tabi tutulmasına izin vermeniz gerekir.  Kullanıcılarınızın, test edilmeden uygulamaya gitmesi her zaman risktir, bu pozitiflik sizi yankı odasına düşürebilir. Bu nedenle, üçüncü tarafın iki kez kontrol etmesini sağlamak iyidir.