#sizmatesti #penetrasyontesti #pentest #sızmatestigenelgesi #sızmatesti #sızmatestinedir
Bir kurumun sızma testi yaptırmasındaki amaç gerçek bir saldırıya maruz kalmadan önce simülasyon yoluyla kurumun kendi kendine bir saldırı düzenlemesi ve açıkları gerçek saldırganlardan önce tespit ederek kapatmasıdır.

Kontrollü bir saldırı olarak da nitelendirebileceğimiz bu çalışmanın kurum için, hem teknik hem de psikolojik hazırlık boyutları vardır.

Teknik tarafa baktığımızda hazırlıkların en önemlisi, testler gerçekleştirilirken kurumun iş süreçlerinin kesinti ve kayıba uğramaması adına testi gerçekleştirecek tarafın yapacağı yönledirmelerdir. Kısaca veri kaybı ve kesinti yaşanmamasıdır. Örnekle bir havayolu şirketinin web sitesine testler gerçekleştirilirken web sitesinin bir süreliğine kesinti yaşaması şirketi zarara uğratacaktır. Bunun olmaması için de teknik hazırlıkların kurum tarafın yapılmış olması gerekir. Bu noktada da testleri gerçekleştiren kişi veya firmanın ne derece profesyonel çalıştığı belirleyici bir unsur olacaktır.

Gelelim muhtemelen ilk kez duymuş olacağınız psikolojik hazırlık kısmına. Bu aşamada en önemli belirleyici etken kurumun testleri ne amaçla yaptırdığı ile başlar. Kurumlar bu testleri kendi güvenlik seviyelerini kendi insiyatifleriyle iyileştirmek için yaptırabileceği gibi bir regülasyona uyum sağlamak adına da yaptırabilirler. Regülatör tarafından zorunlu kılınarak yaptırılaran testlerde, kurumun ve çalışanların bakış açısı çalışmanın bir denetim gibi algılanmasına yol açar. Bu nedenle de tespit edilen açıkların yani bulguların regülasyona bir uyumsuzluk olabileceği düşüncesiyle çalışmadaki işbirliği psikolojisi yerini denetlenen psikolojisine bırakır. Bu durumda da çalışmada açık tespit edilmemesini istemek gibi yanlış bir yorumlama ortaya çıkar.

En başta da değindiğim üzere aslında testler var olan açıkları saldırganlardan önce tespit etme çalışmasıdır. Kurumun güvenlik postürünü iyileştirmesi ancak bu çalışma sonrasında çıkan açıklara yani bulgulara aksiyon alınarak gerçekleştirilebilir. Eğer ki kurum çalışma sırasında iş birliği içinde olmazsa bu açıkları tespit etmek mümkün olmayacaktır. Regülatörlerin de amacı bu açıkların düzenli olarak tespit edildiğinden emin olunmasıdır. Yani regülatör açıkların kendisiyle değil, bu açıkların tespit edilerek yönetilip yönetilmediği ile ilgilenmektedir. Yani uyumsuzluk, tespit edilen açıklar değil, yapılan çalışmanın amacına uygun şekilde yapılıp yapılmadığıdır.

Psikolojik boyuta baktığımızda diğer hussus da ister regülasyon motivasyonu ister kurum insiyatifiyle olsun, gerçekleştirilen testlerde sistem, ağ, veritabanı, yazılım gibi IT çalışanları tarafından hissedilen denetlenme psikolojisidir. Bu noktada testler iç denetim tarafından yaptırılıyor olsa dahi unutulmaması gereken şey testin bir denetim çalışması olmadığır. Biz siber güvenlik uzmanlarıyla IT uzmanları aynı işi yapıyor gibi görünebiliriz ancak güvenlik uzmanlığı başlı başına kendine has terimleri, jargonu ve doğası olan ayrı iştir. Ayrı bir uzmanlıktır. Nasıl ki ağ uzmanından yazılım geliştirmesi beklenmiyorsa bir sistem uzmanından veya ağ uzmanından da güvenlik işi yapmasını beklememek gerekmektedir.

Güvenlik uzmanlarının da görevlerinden biri bu testleri yaparak veya yaptırarak açıkları tespit etmek ve IT uzmanlarına yol göstererek beraber çalışmaktır. Bu nedenle bünyesinde güvenlik uzmanı veya departmanı bulunan kurumlar bile bu açıkların tespit edilmesi için azami ölçüde iş birliği göstermelidirler. Elbette ki psikolojinin de denetim psikolojisine evrileceği bir nokta vardır. Bu nokta da sızma testi çalışmalarının öncesi değil, sonrasında çıkan aksiyon planının takibi sürecidir. Kısaca açıkların kapatılmasının ilgili sorumlular tarafından takip edilip edilmediğinin tespit edildiği çalışmadır. Bu çalışma da sızma testini gerçekleştiren tarafın değil, iç denetim ve bağımsız denetçi gibi adından da anlaşılacağı üzere denetçi olan tarafın işidir.

[ Ссылка ]

свернуть