Uygun bir güvenlik çerçevesi, tüm geliştiriciler için sürekli güvenlik eğitimi, tüm sistem için tehdit modelleri, düzenli kod incelemeleri ve planlı sızma testlerini içermelidir. Öngörülebilirlik ve tutarlılık, sızma testi uygulamasının temel ilkeleri arasında yer alır. Bir penetrasyon/sızma testinin tutarlı bir şekilde uygulanması için standartlara sahip olması gerekir.
Sızma testi ve güvenlik denetimleri için bazı standartlar belirlenmiştir. OWASP (Open Web Application Security Project), OSSTMM (The Open Source Security Testing Methodology Manual), ISSAF (Information Systems Security Assessment Framework), NIST SP800-115, PTES (Penetration Testing Execution Standart), Fedramp (The Federal Risk and Authorization Management Program) bu standartların en çok bilinenlerindendir.
1. OWASP
Web güvenliği çok geniş bir kavramdır. OWASP web uygulamalarının güvenliğini sağlamak için açık kaynaklı bir projedir. OWASP bir Test Kılavuzu’nu oluşturarak güvenlik uzmanları için hayatı kolaylaştırdı.
2. OSSTMM
OSSTMM ile asıl amaçlanan penetrasyon/sızma testi, etik hackleme ve diğer güvenlik testleri için kullanılabilecek operasyon güvenliğinin doğru karakterizasyonunda bilimsel bir süreç sağlamaktır. Örneğin, hedef ağa giden yolda paket kaybının kontrol edilmesi, bir pakete yanıt süresinin ölçülmesi, hedef ağ üzerinden yanıt oranının ölçülmesi, hedef ağ ile iletişim kurulurken kaybedilen paket sayısının ve alınan hataların ölçülmesi belirli standartlara göre ölçeklendirilir.
3. ISSAF
Bilgi Sistemleri Güvenlik Değerlendirme Çerçevesi, Sızma testi metodolojisinde ağı, sistemi ve uygulama kontrollerini değerlendirmek için tasarlanmıştır. Üç aşama yaklaşımı ve dokuz adım değerlendirmesinden oluşur. Yaklaşım aşağıdaki üç aşamayı içerir:
Aşama – I: Planlama ve Hazırlık
Aşama – II: Değerlendirme
Aşama – III: Artefaktların Raporlanması, Temizlenmesi ve Yok Edilmesi
Bilgi Sistemi Güvenlik Değerlendirme Çerçevesi (ISSAF) metodolojisi Açık Bilgi Sistemleri Güvenlik Grubu (OISSG) tarafından desteklenmektedir.
4. NIST SP800-115
NIST, kuruluşlar tarafından güvenli bilgi güvenliği uygulamaları geliştirmek ve güvenlik testi yapmak için kullanılabilecek kalite ilkelerine sahip standartların bütünüdür. NIST SP 800-115, güvenlik testinin temel unsurlarına genel bir bakış niteliğindedir. Kapsamlı bir rehber değildir, ancak organizasyonları teknik bilgi güvenliği testlerini planlama ve yürütme, bulguları analiz etme ve iyileştirme stratejileri geliştirme konusunda yönlendirir.
5. PTES
PTES bir penetrasyon testi sırasında izlenecek belirli prosedürlerin tanımlanmasına yardımcı olan teknik yönergelerdir. Yönergeler sadece, belirli senaryolarda sizi bir yönde yönlendirecek ve yardımcı olacak durumlardır ancak bir penetrasyon testinin nasıl gerçekleştirileceği hakkında kapsamlı bir talimat seti değildir.
6. Fedramp
Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), bulut tabanlı hizmetlerin güvenlik değerlendirilmesi ve sürekli izlenmesi için bir çerçeve sunar. Bu rehber sayesinde, Sızma Testi’nin planlanması ve yürütülmesi ile ilgili bulguların analiz edilmesi ve raporlanması konusunda çeşitli standartlar belirlenir.
Sızma testlerimiz güvenilir, etkili ve titizdir çünkü sektördeki en iyi standartlara uygunluk içinde yapılır. SecroMix olarak penetrasyon testlerimizde en yüksek kaliteyi sağlamak için yukarıda saydığımız uluslararası standartları ve tanınmış sızma testi çerçevelerini kullanıyoruz.
Neden SecroMix?
Ekibimiz, en prestijli CTF hack yarışmalarına (“Capture the Flag”) katılan penetrasyon testi deneyimine ve gerekli sertifikalara sahip (CEH, LPT,…), standartlara uygun (KVKK, GDPR, BDDK, TSE, PCI DSS, ISO 27001) araştırmacı ve hata ödül programlarında başarılı katılımcıları içerir.
Firma olarak riskleri azaltmak, tüm güvenlik açıklarını düzeltmeye yardımcı olmak ve bilgi güvenliği sürecinize destek sağlamak için ayrıntılı öneriler ve özel planlar sunuyoruz.
Unutmayın sistem sızma testleri/pentest/penetrasyon testleri, herhangi bir kuruluş için bilgi güvenliğinin gerekli bir unsuru olmazsa olmazlarındandır.
Pandemi Dönemine Özel,
Sızma Testi / Pentest / Penetrasyon testi, SIEM, CoSoSys DLP (KVKK, GDPR Uyumlu DLP), bilgi güvenliği danışmanlığı, siber güvenlik kapsamında fiyat teklifi ve Ücretsiz Siber Güvenlik Farkındalık Analizi için iletişime geçebilirsiniz.
