Güvenlik Açığı Değerlendirmesi Sızma Testi Veya Kırmızı Ekip Oluşturma İşletmeniz İçin Doğru Olan Hangisi
Güvenlik Açığı Değerlendirmesi Sızma Testi Veya Kırmızı Ekip Oluşturma İşletmeniz İçin Doğru Olan Hangisi
Kaspersky Güvenlik Değerlendirmesi Başkanı Alexander Zaytsev
2020'de işletmelerin üçte birinden fazlası hedefli bir siber saldırı yaşadı. Dolayısıyla şirketlerin benzer karmaşık tehditlerle karşı karşıya kaldıklarında güvenlik operasyonlarının nasıl sonuçlanacağını anlamaları oldukça önemli. Muhtemelen bu anlayışa ulaşmanın en iyi yollarından biri, birkaç adım geri çekilip kendi organizasyonunuza bir siber saldırganın bakış açısıyla bakmaktır. Ancak ne yazık ki piyasada yanıltıcı pazarlama materyallerinin arkasına gizlenmiş çok sayıda güvenlik değerlendirme hizmet teklifi var.
Deneyimlerimize göre güvenlik değerlendirme hizmetleri söz konusu olduğunda müşteriler genellikle üç tür hizmet arasında kafa karışıklığı yaşıyor: Güvenlik açığı değerlendirmesi, sızma testi ve kırmızı ekip oluşturma.
Ne yazık ki bilgi güvenliği alanında pek çok parlak ve yeni terim,eninde sonunda hiç bitmeyen bir arzayol açan moda taleplere dönüşüyor. Bu ilk zamanlarında penetrasyon testi için geçerliydi. Bugün aynı şey kırmızı ekip oluşturma için söz konusu.
Piyasadaki hemen hemen her güvenlik hizmeti sağlayıcısı, bir tür "kırmızı ekip oluşturma" hizmetleri sunmaya hazır. Çünkü giderek daha fazla işletme bunu talep ediyor ve bu da giderek daha fazla teklif talebine yol açıyor. Sonuçta iş gidip "yeni hizmet" taleplerinin zorlanmasına dayanıyor.Müşterilerle kurduğumuz yakın iletişim, kırmızı ekip oluşturma adına aldığımız taleplerin yaklaşık %80'inde şirketin aslında iyi, bilindik bir penetrasyon testi aradığını ortaya koyuyor.
Bu tamamen anlaşılabilir bir tutarsızlık. Çünkü “penetrasyon testi” terimi şu anda pazarlama açısından bakıldığında “kırmızı ekip oluşturma” kadar bulanık. Tek fark, "penetrasyon testi" etiketli bir güvenlik açığı taramasına kolayca ulaşabilmeniz. Ancak şirketler genellikle bu seçeneği bir "üst katman" hizmet lehine gözden kaçırmaya meyilli.
Bununla birlikte, herhangi bir güvenlik değerlendirme hizmetine dair beklentilerinizi karşılamanın bazı temel adımlarının olduğunu düşünüyoruz. Bu da ihtiyaçlarınızı formüllere dökmek için zaman ayırmanızı ve satıcının teklifleriyle bunları nasıl karşılayacağını anlamasını sağlamanızı gerektiriyor.
Güvenlik açığı değerlendirmesi, penetrasyon testi ve kırmızı ekip oluşturma arasındaki farkı bir kez daha göstermek için burada hizmetin amacı, kapsamı ve metodolojisi olmak üzere üç temel kriteri ele alacağız.
Orada ne var?
Bu üçünün en yaygını olan güvenlik açığı değerlendirmesi (Vulnerability assessment-VA), güvenlik sorunlarının belirlenmesine yönelik otomatik veya yarı otomatik bir yaklaşımdır. Amacı, kesin olarak tanımlanmış bir dizi sistem arasında yanlış pozitif sonuçları en aza indirerek, genel olarak bilinen çok sayıdaki güvenlik açıklarını keşfetmektir. Oldukça basit olan metodoloji,bir ağ hizmetinden alınan verilerin bilinen güvenlik açıklarının bulunduğu veritabanıyla eşleştirilmesine dayanır. Bu basit yaklaşım kapsamlı bir otomasyona izin verir. Böylece hız ve tekrarlanabilirlik avantajı elde edilir. Dezavantajları da oldukça açıktır: Neticede bir VA'dan elde edebileceğiniz tek şey, mevcut iyi bilinen güvenlik açıklarının hangilerinin sizi etkileyebileceğinin bir listesidir.
VA'nın sizin için doğru hizmet olmadığını söylemiyoruz. Varlık envanteri ve değişiklik yönetimi süreçlerinin yanı sıra, güvenlik açısından olgunlaşmış herhangi bir kuruluşta güvenlik açığı yönetimi programın çok önemli bir parçasıdır. Ancak VA'nın herhangi bir düşmanca davranış simülasyonuyla ilgisi olmadığını unutmayın. Bu nedenle penetrasyon testi veya kırmızı ekip çalışması için kaydolduğunuz bir hizmet sağlayıcı, çalışmaları sırasında çoğunlukla otomasyona dayalı bir güvenlik açığı tarama çözümüne güveniyorsa işini doğru yapmıyor demektir.
O nedenle kırmızı ekip çalışmasına girmeden önce penetrasyon testine biraz daha yakından bakalım.
Adından da anlaşılacağı penetrasyon testi (pentest), bilişim altyapısının güvenlik sınırının nasıl ihlal edilebileceğini göstermeyi amaçlar ve bir tehdit aktörünün bir kuruluşun ağı içinde A noktasından B noktasına geçmesine izin verir. Bir güvenlik açığı değerlendirmesinden farklı olarak pentest, olası güvenlik zayıflıklarının basit bir şekilde sıralanmasının ötesine geçer: Bir dış etkene, kurumsal ağa veya her ikisine uygulanan uygun sızma testi etkileşimi, şirketin BT altyapısını tehlikeye atmayı hedefleyen saldırganların nasıl davranacağını da gösterir.
Metodoloji açısından pentest, alet ve otomasyondan çok, bunu gerçekleştiren uzman ekibin bilgi ve deneyimine dayanan manuel bir hizmettir. Yukarıdakileri göz önünde bulundurarak projeyi buna göre planlamalısınız. Katılım, pratik ve raporlama süreci sizi 30 ila 60 iş günü arasında her yere götürebilir. Raporlama tüm çalışmaların ana çıktısını oluşturacağından, hizmet sağlayıcınızı seçerken rapora nelerin dahil edileceğine çok dikkat edin. Çoğu yerleşik satıcı, nihai ürünün beklentilerinizi karşılayıp karşılamayacağını değerlendirmek için talep edebileceğiniz örnek raporlara sahiptir.
Son olarak kırmızı ekip oluşturma (red teaming) hizmeti, karmaşık bir saldırı simülasyonu yürüterek ve buna karşı savunma yapan SOC uzmanlarının (mavi ekip) algılama ve yanıt tepkilerini değerlendirerek şirketin operasyonel güvenlik yeteneklerinin değerlendirilmesine odaklanır. Her ne kadar penteste benzermiş gibi görünse de, güvenlik operasyonlarını (OpSec) test etmeve saldırı vektörlerini arama arkasında önemli farklılıklar vardır.
Her bir kırmızı ekip çalışmasının metodolojisi ve kapsamı, büyük ölçüde etkileşimden önce toplanan tehdit istihbaratı (TI) tarafından belirlenir. Sızma testi sırasında hizmet sağlayıcı, BT altyapı güvenliğinin ihlal edilmesine yardımcı olacak tüm saldırı vektörlerini dener. Kırmızı ekip oluşturma sırasında müşteri ve hizmet sağlayıcı birlikte bir dizi hedef geliştirir ve bunlara karşılık gelen bir dizi saldırı senaryosu aracılığıyla ulaşılır. Çoğu durumda kapsam belirli bir IP adresi veya etki alanıyla sınırlı olmayacak, çalışanlar ve süreçler dahil olmak üzere tüm organizasyonu kapsayacaktır. Bu tür alıştırmalar gerçek bir saldırganın düşük profilli davranışlarını simüle etme ihtiyacı nedeniyle diğer tüm egzersizlerden daha uzun, 6 ay ve hatta daha uzun sürer.
Tüm bu bilgiler ışığında size sunulan önermeleri gördüğünüzde ve gerçek ihtiyaçlarınızı tarttığınızda, en iyi kırmızı takım oluşturma hizmeti sağlayıcısını aramaya başlamadan önce kendinize bir soru daha sorun: “SOC'm en son uygun pentest sipariş ettiğimizde nasıl performans gösterdi?” Cevabınız “açıkçası bunu yaptığımızdan emin değilim” veya “aslında şu anda özel bir güvenlik operasyon ekibimiz yok” ise, o zaman kırmızı ekip oluşturma sözleşmesinin maliyetinin karşılığını alamayacaksınız demektir. Bunun yerine uzman bir sızma testi ekibiyle çalışarak daha iyi bir değer elde edebilirsiniz. Hizmet sağlayıcınızdan tüm saldırı ve uzlaşma göstergelerinin zaman damgalı bir kaydını tutmalarını istemeyi unutmayın.
Öte yandan yukarıdaki soruya vereceğiniz cevap “tehdit avcılığı”, “MTTD”, “MTTR” veya benzeri şifreli terimler içeriyorsa, bu durumda bir kırmızı ekip macerasına girme şansınız var demektir.