Verimli Bir Sızma Testi Yaptırmak (3): Doğru Adresi Bulma

Sızma testi nasıl yapılır

Merhabalar,

Yazı dizisinin önceki bölümlerinde konuya bir giriş yapılmış ve arkasından planlama ve kapsam belirleme konusuna değinilmiştir.

Konuyu başlangıç noktasından takip etmek isteyen okurlar “Verimli Bir Sızma Testi Yaptırmak: Yola Çıkarken”  ve “Verimli Bir Sızma Testi Yaptırmak (2): Proje Kapsamını Belirleme” başlıklı yazıları gözden geçirebilir.

Bu yazıda ise yine verimli bir sızma testi için hayati önem taşıyan noktalardan biri olan, sızma testi için uygun bir tedarikçi bulunması konusuna değinilecektir.

Konunun detaylarına girmeden önce “sızma testi” süreciyle ilgili ilginç bir noktaya dikkat çekmek faydalı olacaktır. Ülkemizde ve hatta global anlamda yapılan çalışmalarda “sızma testi” ile ilgili çok ciddi bir “standartsızlık” durumu gözlemlenmektedir. 

Aslında konu ile ilgili bir kısım frameworkler veya rehber dokümanlar mevcuttur. “Mittre Att&ck Framework” ve “OWASP Testing Guide” akla gelen ilk örnekler olarak dikkat çekmektedir.

Ancak bu rehberler çoğu zaman hizmeti alan taraflarca bilinmemektedir. Veya bilinse bile karşılıklı kimi kısıtlar nedeniyle uygulanmaktadır. Bu nedenle de pratikte takip edilme ve durumunun yaygın olmadığı görülmektedir.

Sonuç olarak; her ne kadar doğru bir nokta olmasa da pratikte sektörde görülen durum, verimli bir test için  doğru bir tedarikçi (test firması) bulmanın şart olmasıdır.

Bu yazıda alt başlıklar halinde doğru doğru tedarikçinin bulunması ve bu tedarikçilerinin kriterlerinin en olduğu konusuna değinilecektir.

Teklif öncesi detaylı kapsam incelemesi yapmayan tedarikçilerden uzak durulmalıdır.

Sızma testi konusunda hizmet veren kurum veya kişilerin normal şartlarda müşterilerine teklif vermeden önce yapılacak sızma testinin kapsamını incelemesi beklenir. Çünkü test hizmeti alacak firmanın sadece; adı, işlerinin kapsamı veya personel sayısının işin kapsamı hakkında fikir vermesi mümkün değildir. 

Özellikle web uygulama testlerinin alabileceği zaman aralığı oldukça geniş bir skalada değişkenlik gösterebilir. Örneğin bir web uygulaması testi sadece 3 gün sürerken diğer bir uygulamanın testi 25 gün sürebilir. Bu zaman; uygulamanın teknolojisi, içerdiği fonksiyonlar, girdi alanları ve yetkilendirme yapısı başta olmak üzere birçok parametreye bağlı olarak değişir. 

Dolayısıyla müşterisine sağlıklı bir hizmet sunma konusunda hassas olan bir tedarikçinin teklif sunmadan önce kapsam hakkında ön inceleme yapması beklenir. 

Eğer bir tedarikçi bu incelemeyi yapmadan müşterisine teklif sunuyorsa, bu test aşamasında da sadece uygulamadan bağımsız olarak öngördüğü bir efor harcayacağını ve işini hakkıyla yapmayacağı konusunda bir işarettir. 

Bu kapsamda, kapsam incelemesi yapmadan teklifleme ve planlama yapan tedarikçilerin verimli bir test için doğru adres olmadığı değerlendirmelidir.  

Yazılı olarak planlama ve detaylı tekliflendirme yapılması tedarikçinin uygunluğunu gösterir.

Sızma testi süreci her ne kadar kağıt üstünde hızlıca başlayıp bitecek standart bir süreç gibi görünmesine pratikte bu şekilde işlemez. Örneğin testin başında çıkan kritik bazı bulgular nedeni ile müşteri güncelleme sürecine girerek testi durdurabilir. Benzer şekilde her 2 taraftan birinde kaynak eksikliği nedeni ile sürecin durdurulması söz konusu olabilir. Buna bağlı olarak 15 gün olarak düşünülmüş test sürecinin tamamlanması 2-3 ayı bulabilir. 

İşte bu noktada çoğu zaman başlangıç aşamasında konuşulan kapsam ve şartların unutulması ve bu kapsamda tedarikçi veya müşteri tarafından birinin mağdur olması söz konusu olabilir.

Bu kapsamda test sürecinin başında planlama ve kapsam konusunda yazılı olarak süreci götürmesi tedarikçi firmanın olgunluğu gösterip doğru adres olarak tercih edilmelidir.

Tedarikçi firmanın sektördeki referansları önemlidir.

Her konuda olduğu gibi sızma testi konusunda da alanında başarılı olan tedarikçilerin sektörde daha fazla pozitif bir imajının bulunması beklenir. Bu kapsamda sızma testi sürecine girecek firmaların tedarikçilerin sektördeki referansları üzerinden araştırma yapmaları gereklidir.

Bu referansı araştırırken güncel durumları takip etmelidir. Zira siber güvenlik sektörü çok dinamik bir yapıda olup 10 yıl önce çok başarılı bir hizmet sunan tedarikçi güncel durumda aynı kalitede hizmet sunmuyor olabilir. Elbette bunun tam tersi olması da söz konusudur. 

Tedarikçi referansı ararken dikkat edilecek diğer bir nokta bunun test kapsamına uygun olarak yapılmasıdır. Örneğin DDOS (Distributed Denial of Service ) konusundan test ihtiyacı olan bir müşteri için uygulama testleri konusundaki bir referans anlam ifade etmeyecektir. 

Test ekibine ayrıca dikkat edilmelidir.

Sızma testi ihtiyacı olan müşterilerin sektörde bilinen ve marka değeri olan tedarikçileri tercih etmesi doğal bir durumdur. Ancak firmanın bu şekilde olması hizmet sırasında kullanacağı test ekibinin yeterli kalitede olacağı anlamına gelmeyebilir. Bu kapsamda müşteri test ekibinin isimlerini ve kalitesini sorgulamalıdır. 

Bu noktada 2 gösterge öne çıkmaktadır.

  • Sertifika
  • Alan tecrübesi

Müşteri bunlar üzerinden kontrol yaparak doğru tedarikçiyi bulmaya çalışmalıdır.

İyi bir tedarikçi test metodolojisi ve kontrol frameworkünü sunabilir.

Yazının başında da belirtildiği üzere sızma testi kapsamında yapılacak çalışmalarda önemli bir standartlaşma problemi mevcuttur. Bu kapsamda tedarikçilerin çoğunluğu çalışmalarını belirli bir framework ve kontrol listesine bağlı kalmadan gerçekleştirirler. Bu durum testin kalitesi için ciddi bir risk oluşturur. 

Ancak konusunda uzman ve hassas bir tedarikçi çalışmalarını belirli metodoloji üzerinden gerçekleştirir. Ayrıca yapacağı kontrollerde test öncesinde standart olarak ortaya konmuştur.

Bu kapsamda müşteriler test öncesi tedarikçilerden test metodolojisi ve uygulanacak çalışmalar hakkında bilgi talep etmelidir. Bu noktada tedarikçi firma için de kullandığı kimi kontrol listelerini know-how olarak değerlendirerek paylaşmayabilir.

Ancak iyi bir tedarikçinin, test metodolojisi ve genel olarak yapılacak kontrolleri müşterisi ile paylaşması beklenir.

Bu yazıda “verimli bir sızma testi yaptırmak” konusunda en önemli kalemlerden biri olan “doğru tedarikçiyi bulma” konusu üzerinde durduk.

Sonraki yazıda görüşmek üzere.

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.