Güven problemi
Sızma Testi / penetrasyon testi aşamalarının her biri daha önce müşteri ile kararlaştırılarak yapılır. Hedef sistemlerin işleyişinin bozulma olasılığı çok yüksekse veya gizli bilgilere başarılı bir şekilde erişilmesi durumunda, uzmanlar, devam etmek için resmi izin alınana kadar derhal çalışmayı bırakır.
Testin her aşamasından sonra, eğer güvenlik ile ilgili bir ihtiyaç ortaya çıkarsa uzmanlar testin sonuçlarını ortadan kaldırmak için gerekli adımları açıklayan bir belge geliştirir. Belgede, varsa yapılan sistem değişikliklerinin veya ayrıntılı bir sorun giderme kılavuzu ile birlikte “istismarların” sonuçlarının bir açıklaması bulunur. Hedef bilgi sistemlerinde geri dönüşümsüz veya yıkıcı bir değişiklik yapılmadığının altı bir kez daha çizmek gereklidir.
Yasal sözleşmeler söz konusu bilgi olduğunda bile insanın aklına “bekçilere kim bekçilik edecek” sözü gelebilir. Fakat böyle bir durumda sözleşme (NDA) dikkatlice hazırlanmalı ve müşteri yükleniciye güvenmeli ve bunu SecroMix gibi iyi bir üne sahip şirketler arasından seçmelidir.
Test sonuçlarını Değerlendirme
Müşterinin kurumsal ağının dış çevresi yeterli düzeyde korunduğu görüldü, ana makinelerin ve hizmetlerin istismar edilebilir güvenlik açıklarını tespit edemedik.
Uzmanlarımız, kurumsal sitenin koruma düzeyini ortalamanın üzerinde derecelendirdiler: kritik bilgilere erişemediler veya test sırasında hedef kaynağın kontrolünü alamadılar. Ancak web uygulamasının DDoS saldırılarına karşı direnci son derece düşük çıktı ve devre dışı bırakmak için potansiyel bir saldırganın önemli bilgi işlem gücüne ihtiyacı yoktur.
Daha ciddi sorunlarda vardı:
Dahili şirket altyapısı çok daha kötü korunmuş ve kritik verileri işleyen kritik iş sistemlerine saldırmayı mümkün kılan şirket Active Directory etki alanında yönetici haklarına sahip olmasına izin verilmiştir.
İçte başka ciddi güvenlik açıkları keşfedildi ve ayrıca müşterinin kablosuz ağının PSK’yı erişim için geri yüklemesine izin verdi. Bu sonuçlarla, birçok şirket tamamen dış çevre korumasına güvenmektedir. Bu büyük bir hata olacaktır. Bir saldırgan üstesinden gelmeyi başarırsa, zayıf iç koruma ağı istediğiniz gibi barındırmanızı sağlar. Buradaki asıl sorun insan faktörüdür. Sosyal Mühendislik testleri, bilgi güvenliği konularında müşterinin çalışanlarının (kullanıcılarının) okuryazarlığının yetersiz olduğunu göstermiştir. Sahte kimlik avı gönderimi ve “virüs bulaşmış” flash sürücülerin dağıtımı başarılı olmuştur. Bu da dış çevreyi koruma çabalarının etkinliğini önemli ölçüde azaltmıştır.
Şirket ağı dışarıdan saldırıya uğramazsa, bunu içeriden yapmaya çalışmak önemlidir. Çünkü müşterinin altyapısına başarılı saldırı olasılığı hala devam eder. Pentestlerin küçük işletmeler için çok pahalı olduğuna dair bir görüş vardır. Gerçekten de, az sayıda müşteri, BT sistemlerinin güvenlik seviyesinin uzman bir incelemesine ortalama 3-5 bin dolara kadar harcama yapmaya hazır.
Aslında, bu tür masrafların fizibilitesi şirketteki çalışan sayısına değil, başarılı bir saldırı durumunda ticari risklere bağlıdır. Pahalı bir dış yüklenici seçmeye karar verirken, birkaç basit soruyu cevaplamak gerekir:
- Tamamlama süresi nedir?
- İşletme BT’yi ne kadar kullanıyor?
- Önemli verilerin sızması veya bozulması nedeniyle hangi zararlar meydana gelir?
Örneğin, büyük bir teknoloji şirketi için yazılım geliştirme ihaleleri kazanan küçük bir şirketi ele alalım. Sistem için oluşturulan kaynak kodlar Internette paylaşsa durum nasıl olacak? Bu işleri tamamen durdurmasa bile, ciddi anlamda kuruma zarar verir mi düşünmek gerekli. Onlarca çalışanı olan bir hukuk veya denetim şirketi büyük müşterilerle çalışabilir ve onlar için milyarlarca dolarlık işlemler yapabilir. Gizli verilerinin halka açık bilgi alanına sızmasına nasıl tepki verirler? Bunun gibi birçok olasılık vardır.
Bu yüzden sızma/penetrasyon testleri küçük işletmelere dahi yardımcı olabilir. Ancak elbette, önce riskleri ve test maliyetlerinin uygunluğunu değerlendirmelisiniz. SecroMix gibi uzman personele sahip, başarılı şirketler arasından seçilmelidir.