Müşteri ne istiyor?
Öncelikle Red Teaming’in genel bir açıklamasını yaparsak; kırmızı takımın potansiyel bir saldırganı canlandırdığını söyleyebiliriz. Ve birçok kişi bunu, sızma testi ile arasındaki temel fark olarak görüyor. Bununla birlikte, sızma testi sürecinde de, uzmanlar da bir saldırganı taklit ederler.
Bazı müşteriler, saldırganların en doğru taklidi gibi gördüğü Red Teaming hakkında yanlış bir fikir edinmiştir. Ve genellikle kırmızı takımdan “kötü adamlarla” tamamen aynı şekilde davranmasını isterler yani sistemlerinin hacklenmesini. Elbette, her şey olabildiğince sessiz ve müşteriler kırmızı takıma mümkün olan her şekilde savunmayı desteklemelidir.
Evet, birçok şirket, sistemlerini gerçek saldırganların ataklarına karşı dayanıklılık açısından test etmek ister. Ve bu oldukça anlaşılırdır, çünkü zaten asıl amaç, sızma testi ile cihazlarının, sistemlerinin korunmasını sağlamaktır. Ayrıca gerçek izinsiz girişleri ve diğer izinsiz girişleri izlemek çok heyecan vericidir! Çünkü burada hayal kırıklığına uğrama riski ile karşı karşıyadır müşteri. Vakaların ezici çoğunluğunda, müşteriler sistemlerinin gücüne ancak deneyimsizlikleri nedeniyle güveniyorlar.
Müşteri bunu gerçekten istiyor mu?
Red Teaming projesinin uygulanması sırasında ortaya çıkabilecek birkaç sorunlu noktayı gözden geçirelim.
Yasallık
Projenin uygulanması için temel koşullardan biri, yalnızca üst düzey yöneticilerin ve bilgi güvenliği yöneticilerinin bundan haberdar olmasıdır. Uygulamanın her aşamasında bilgilendirilme yapılmalıdır. Müşteri, izleme ve müdahalenin “gerçek” koşullarda nasıl uygulandığını görmeli, fakat çalışanların işin farkında olduğu ve günün her saati her şeyi dikkatlice izlediği koşullarda olmamalıdır.
Çoğu zaman, Red Teaming büyük şirketler tarafından yürütülür. Bu, sisteme girmek için çok fazla kaynağa sahip oldukları anlamına gelir. Sızma Testi Uzmanına bilgi verilmezse veya tam olarak doğrulanamazsa işin kapsamı konusunda sorunlar ortaya çıkabilir. Şirket, örneğin İnternet üzerinde yayın yapan birkaç ağa (özerk ağ) sahip olabilir, ancak bir kısım alt bir yapıya kiraya verilebilir veya bir yan kuruluşa ait olabilir. Bu açıdan bir pentester bir sunucuya girdiğinde ve saldırıyı diğer ana bilgisayarlara yaydığında, tam kapsamda olup olmadıklarını kontrol etmek artık mümkün hale gelmeyebilir. Ve ihtiyacınız olandan daha fazlasını hackleyerek sınırların dışına çıkmak çok kolay hale gelebilir.
Aynısı sosyal mühendislik ve posta listeleri için de düşünmek mümkündür. Pentester, müşteri tarafından onaylanan adresler listesine mesajlar gönderir, Truva atı yazılımını mesajlara ekler, ancak kullanıcı davranışı her zaman öngörülebilir değildir. Örneğin, birisi şirkette değilken, bir ev bilgisayarından ona bir mektup göndererek bir Truva atı başlatacaktır. Ve eğer bu kişi bir veri hırsızlığı yada saldırısı fark edip tespit ederse, yönetimle eylemlerini haber vermeden polisi arayabilir. Bütün bunlar sorunlara ve kurum içi gereksiz karmaşaya yol açabilir.
Verimlilik
Pentesterler farklı bilgisayar korsanlığı teknikleri ve yazılımları kullanır. Pentest yaparken önemli görevlerden biri, müşterinin sistemlerinin performansının kesintiye uğrama olasılığını en aza indirmektir. Bununla birlikte, şu anda çok karmaşık sistemler kullanıldığı için böyle bir ihlal olasılığından kaçınılamaz ve tüm varyasyonları hesaplamak kesinlikle imkansızdır.
Sızma testi uzmanları, potansiyel olarak tehlikeli eylemleri müşteriyle koordine etmeye çalışır ve gerektiğinde sistemi hızlı bir şekilde geri yüklemek için BT departmanının gözetimi altında gerçekleştirir. Bununla birlikte, pentester “gerçek” bir saldırganı tasvir ederken bu işe yaramaz. Size bir kez daha hatırlatalım ki, bir ana bilgisayarı hack’ledikten ve içinden bir yerler silindikten sonra, bu sızma test cihazının genellikle hangi sisteme ve nereye zarar verildiği konusunda zayıf bir fikri vardır. Bu da, kritik işlemlerin aksayacağı anlamına gelir ve hatta bazen uzun süre.
İnsanlarla ilgili sorunlar
Basit bir örnek: bir e-posta aldınız, okudunuz ve ancak bir süre sonra bir yabancının bilgisayarınıza girdiğini, eylemlerinizi izlediğini ve birkaç şirket sunucusuna saldırdığını öğrendiniz. Bu doğrudan sizin hatanız bile olmayabilir veya bunun nedeni BT departmanı tarafından kurulan gerekli güncellemelerin olmamasıdır. Ancak durum yine de hoş değildir. Sosyal mühendislik bazen çalışanlar için acı verici sonuçlar doğurur ve “gerçek” bir saldırganın olduğu bir durumda, bir pentesterin dağıtımını kontrol etmek kolay değildir. Sonuç olarak, bu, çalışanların işletmesine karşı tutumunu etkileyebilir.
