“Sızma Testi” ile “Zafiyet Taraması” zaten aynı şey değil mi?
Sızma testi ve zafiyet taraması farlı uygulamalardır. Zafiyet Taraması, otomatize araçlarla yapılan hızlı kontrolleri içerir. Zafiyet taraması sonrası tespit edilen açıklıkların istismarına veya farklı noktaya etkilerine yönelik çalışma yapılmaz.
Sızma Testi ise zafiyet taramasına ek olarak tarama sonuçlarının doğrulanması, bulunan zafiyetlerin istismarı ile sistemler üzerinde yeni analizler ile farklı zafiyetlerin tespit edilmesi ve ayrıca iş mantığı kaynaklı zafiyetlerin incelenmesini içerir.
ISO/IEC 27001 kapsamında kurum hangi varlıklarına test yaptırmalıdır?
Kurumun “Varlık Envanteri” içine yazdığı tüm varlıkları için sızma testi yaptırması gerekir. Kuruma ait; sunucu sistemleri, ağ bileşenleri, web uygulamaları, mobil uygulamaları bu varlıklara örnek verilebilir.
Bu noktada dikkate alınması gereken kıstas mevcut varlıkların kurumun sorumluluğunda olup olmadığıdır. Örneğin kurumun geliştirip bir müşterisine devrettiği uygulamalar artık kurum sorumluluğunda değilse bunlar için sızma testi gerekmez.
Sızma testi için tüm varlıklar dikkate alındığında çok yüksek bir maliyet çıkmaktadır? Bu nasıl hafifletilebilir?
Bu noktada yardıma “zafiyet taraması” yöntemi gelebilir. Kurum kritiklik seviyesi düşük olan varlıklar için sızma testi yerine zafiyet taraması yaparsa daha düşük maliyetle temel bir tedbiri almış olacaktır.
Buna ek olarak kullanıcı hesabı ile login olan sistemlerde, “login (giriş işlemi)” sonrası aşamaları test kapsamından çıkarmak test maliyetini düşürecektir. “Login” sonrası aşamaların da test edilmesi faydalı olsa da ilk aşamada uygulamanın anonim kısmını test edebilmek için bu şekilde bir maliyet hesabı yapılabilir.
Sızma testi çalışmasında maliyeti düşürecek diğer bir pratik, test ekibi ile test sürecinde maximum işbirliği yapmaktır. Bu süreçte, test edilecek sistemlere doğrudan erişim verilmesi test ekibinin keşif ve sistemlere erişim aşamasında zaman kaybının önüne geçecek bu da maliyeti düşürecektir.
ISO/IEC 27001 uyumlu sızma testi ne demektir?
ISO/IEC 27001 herhangi bir sızma testi metodolojisi sağlamamakta veya önermemektedir. Bu kapsamda “ISO 27001 uyumlu sızma testi” tabirinin kullanımı genel olarak doğru görülmektedir.
Konunun anlaşılması açısından bu tabirin uyumlu olduğu farklı kullanımlara aşağıdaki düzenleme, metodoloji veya rehberler örnek verilebilir?
- PCI DSS uyumlu sızma testi
- ISSAF uyumlu sızma testi
- OWASP uyumlu sızma testi
[Kaynak: Published by BTUYUM on October 9, 2021]