Pentest/Sızma testi yaptırmaya karar verdiğinizde, üretim ortamınızı hedeflemesi gerekip gerekmediğini merak edebilirsiniz.
Risklere bağlı olarak, bir üretim ortamının veya bir test ortamının pentest/sızma testi uygulanması çok doğaldır. Aşağıda, Canlı Ortamın ve Test Ortamının neden pentest / sızma testine ihtiyacı olduğunu açıkladık.
Canlı Ortama Neden Sızma Testi Uygulanmalı?
Bir üretim ortamını test etmenin en iyi nedeni, gerçek hedefin güvenlik değerlendirmesini almanızdır.
Sızma Testlerinin, kullanıcılar ve potansiyel saldırganlar için mevcut olan aynı hedefin güvenlik açıklarını test etmesini sağlar.
Sızma Testi uzmanları özelliklere, hizmetin tüm kurulumuna, özellikler arasındaki etkileşimlere, üçüncü şahıs hizmetleriyle entegrasyona ve bir çok farklı nokta ile ilgilenir.
Bu nedenle, bir üretim ortamına uygulanan sızma testi/pentest, tüm sistemi test eder ve sistem için güvenlik açısından tabiri caizse bir harita oluşturur.
Ayrıca, bir saldırganın bakış açısından hangi varlıkların en ilginç olduğuna dair içgörüler sağlayabilir ve uygulanan güvenlik araçlarının saldırıları ne zaman tespit ettiğini ölçebilir.
Ama asıl soru şu: Üretim ortamına yapılacak sızma testi/pentest, sistemin günlük faaliyetine müdahale eder mi? Veya engel olur mu? Gerçek riskler nelerdir?
Profesyonel olarak yürütülen bir pentest, sisteminizi veya sistemlerini yok etmeyecek ama, profesyonelliğin dışındaki eylemler sistemlerinizi etkileyebilir. Örneğin bazı testler, bazı gereksiz veriler depolayabilir ve gereksiz açılır pencereler oluşturabilir, süreç veya süreçlerin biraz yavaşlamasına neden olabilir.
O zaman bir sonraki soru şu: İşletmeniz için riskler nelerdir? Ve bu riskler alınırsa karşılığında avantajlı olan sisteminiz mi olacak?
Eğer riskler sizin için çok yüksekse o halde uygulayabileceğiniz bir alternatif daha var. Bu alternatif, test ortamında pentest/sızma testi uygulamaktır.
Test Ortamına Neden Sızma Testi Uygulanmalı?
Eğer bir test ortamında sızma testi/pentest uygulayacak veya bu hizmeti alacaksanız, test ortamınız üretim ortamı ile uyumlu olması gerek.
Örneğin, pentest bir web uygulamasını hedefliyorsa, hem uygulama katmanı hem de sunucu yapılandırması aynı olmalıdır. Bu, sızma testinden yararlı ve güvenilir geri bildirimi almanızı sağlamak için önemlidir.
Üretim dışı bir ortamın sızma testinin temel avantajı, kullanıcıları etkilememesi ve faaliyete müdahale etmemesidir.
Bu nedenle, uygulanan sızma testi kısıtlamalara tabi olamayacaktır: örneğin şirketin verileri üzerinde herhangi bir kayıp olmayacağı için bazı güvenlik açıklarından daha fazla yararlanılabilecektir.
Veri bütünlüğü veya hizmet sürekliliği şirket için çok önemli olduğundan, üretim dışı yani test ortamına uygulanması çok daha iyi bir seçenek olacaktır.
Bazı durumlarda, pentest yapmak gerçekten mantıklıdır:
- Bir geliştirme ortamı: Henüz piyasaya sürülmemiş en son gelişmeleri test etmesini sağlayacaksa.
- Bir test ortamı: Hedef, istemci başına çözümün bir örneğinin kurulduğu bir yazılımsa.
- Bir demo ortamı: Hazırsa ve hedefi temsil ediyorsa.
Sonuç
İlk sızma testi için sistemler başlangıçta çok savunmasız olabileceğinden, üretim dışı bir ortam hedeflenir. İkinci sızma testi ile, sistemlerin güvenlik seviyesi iyileştirildiği için bir üretim ortamı hedeflenir.
Pentest, özellikle riskli olduğu düşünülürse üretim öncesi bir ortamda çalıştırılabilen hizmet reddi testleri dışında bir üretim ortamını hedefler.
Üretim veya üretim dışı ortam arasında seçim yapmak, sızma testinden en iyi şekilde yararlanmak ile riskleri azaltmak arasında bulunması gereken bir dengedir.
En iyisi, pentest hizmeti aldığınız firma veya şirket ile sızma testi etkilerinin neler olduğunu ve neleri reddedeceğinizi ayrıntılı olarak tartışmaktır. Sızma testinizden tam olarak yararlanmanızı sağlamak için belirli koşullar ve kısıtlamalar önceden tartışılmalıdır.
Bir testin hedef üzerinde bir yan etkisi varsa (özellikle bir üretim ortamı), testleri durdururlar (ve üretimi daha hızlı normale döndürmek için yapabileceğiniz bazı işlemler varsa sizinle iletişim kurarlar).