Ara

Sızma Testi Standartları


Sızma testleri, hangi standartlardan ve yöntemlerden yararlandıklarına bağlı olarak çok farklı sonuçlar verebilir. Güncellenmiş sızma testi standartları ve yöntemleri, sistemlerini güvence altına almak ve siber güvenlik açıklarını düzeltmek isteyen şirketler için uygun bir seçenek sunar.


  1. OSSTMM (The Open Source Security Testing Methodology Manual)

  2. OWASP (Open Web Application Security Project)

  3. NIST SP800-115

  4. PTES (Penetration Testing Execution Standart)

  5. ISSAF (Information Systems Security Assessment Framework)


1. OSSTMM

Endüstrideki en tanınmış standartlardan biri olan OSSTMM çerçevesi, ağ penetrasyon testi ve güvenlik açığı değerlendirmesi için bilimsel bir metodoloji sunmaktadır. Bu çerçeve, test uzmanlarının bir ağdaki (ve bileşenlerinin) çeşitli potansiyel saldırı açılarından güvenlik açıklarını tanımlamaları için kapsamlı bir kılavuz içerir. Bu metodoloji, test cihazının derinlemesine bilgi ve deneyiminin yanı sıra tanımlanan güvenlik açıklarını ve ağ içindeki potansiyel etkilerini yorumlamak için insan zekasına dayanır.


Güvenlik kılavuzlarının çoğundan farklı olarak, bu çerçeve aynı zamanda ağ geliştirme ekiplerini desteklemek için oluşturulmuştur. Geliştiricilerin ve BT ekiplerinin çoğu, güvenlik duvarlarını ve ağlarını bu el kitabına ve sağladığı yönergelere dayandırır. Bu kılavuz belirli bir ağ protokolünü veya yazılımını savunmasa da, ağlarınızın güvenliğini sağlamak için en iyi uygulamaları ve alınması gereken adımları vurgular.


OSSTMM metodolojisi (Açık Kaynak Güvenlik Test Metodolojisi Kılavuzu) test uzmanlarının değerlendirmelerini şirketinizin belirli ihtiyaçlarına veya teknolojik bağlamına uyacak şekilde özelleştirmelerine olanak tanır. Bu standartlar setiyle, ağınızın siber güvenliğinin yanı sıra, paydaşlarınızın ağlarınızı güvenceye almak için doğru kararları vermesine yardımcı olmak üzere teknolojik bağlamınıza uyarlanmış güvenilir çözümler hakkında doğru bir genel bakış elde edeceksiniz.


2. OWASP

Uygulama güvenliği ile ilgili tüm konularda, Açık Web Uygulama Güvenliği Projesi (OWASP) sektörde en çok tanınan standarttır. En son teknolojilerin en üstünde yer alan çok yönlü bir topluluk tarafından desteklenen bu metodoloji, sayısız organizasyonun uygulama güvenlik açıklarını azaltmasına yardımcı oldu.


Bu çerçeve, yalnızca web ve mobil uygulamalarda yaygın olarak bulunan güvenlik açıklarını değil, aynı zamanda güvenli olmayan geliştirme uygulamalarından kaynaklanan karmaşık mantık hatalarını tanımlayabilen uygulama sızma testi için bir yöntem sağlar. Güncellenmiş kılavuz, her bir sızma testi yöntemi için kapsamlı yönergeler sunar ve toplamda 66'dan fazla kontrol ile test cihazlarının bugün modern uygulamalarda bulunan çok çeşitli işlevler içindeki güvenlik açıklarını tanımlamasına olanak tanır.


Bu metodolojinin yardımıyla kuruluşlar, uygulamalarını - web ve mobil gibi - işlerini potansiyel olarak etkileyebilecek yaygın hatalardan korumak için daha donanımlıdır. Yeni web ve mobil uygulamalar geliştirmek isteyen kuruluşlar, ortak güvenlik kusurlarının ortaya çıkmasını önlemek için bu standartları geliştirme aşamalarında dahil etmeyi düşünmelidir.


Bir uygulama güvenliği değerlendirmesi sırasında, hiçbir güvenlik açıkının kalmadığından ve kuruluşunuzun uygulamalarınızda kullanılan belirli özelliklere ve teknolojilere uyarlanmış gerçekçi öneriler almasını sağlamak için OWASP standardının kullanılmasını beklemelisiniz.


3. NIST

Diğer bilgi güvenliği kılavuzlarından farklı olarak NIST, penetrasyon test cihazlarının izlemesi için daha spesifik yönergeler sunar. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), bir kuruluşun genel Siber Güvenliğini artırmak için en uygun kılavuzu içerir. En son sürüm olan 1.1, Kritik Altyapı Siber Güvenliğine daha fazla önem vermektedir. NIST çerçevesine uymak genellikle çeşitli Amerikan sağlayıcıları ve iş ortakları için düzenleyici bir gerekliliktir.


Bu çerçeve ile NIST, bankacılık, iletişim ve enerji de dahil olmak üzere farklı endüstrilerde bilgi güvenliğini garanti altına almaya odaklanmıştır. Hem büyük hem de küçük firmalar standartları kendi özel ihtiyaçlarını karşılayacak şekilde uyarlayabilirler.


NIST'in belirlediği standartları karşılamak için şirketler, önceden belirlenmiş bir dizi yönergeyi izleyerek uygulamalarında ve ağlarında penetrasyon testleri gerçekleştirir. Bu Amerikan bilgi teknolojisi güvenlik standardı, şirketlerin siber güvenlik kontrol ve değerlendirme yükümlülüklerini yerine getirmelerini sağlayarak siber saldırı risklerini mümkün olan her şekilde azaltır.


Farklı sektörlerden paydaşlar, firmaları Siber Güvenlik Çerçevesini uygulamaya teşvik etmek ve teşvik etmek için işbirliği yapmaktadır. Olağanüstü standartlar ve teknoloji ile NIST, birçok Amerikan endüstrisinde siber güvenlik inovasyonuna önemli ölçüde katkıda bulunur.


4. PTES

PTES Çerçevesi (Sızma Testi Metodolojileri ve Standartları) bir penetrasyon testi yapılandırmak için en çok önerilen yaklaşımı vurgular. Bu standart, test cihazlarını ilk iletişim, bilgi toplama ve tehdit modelleme aşamalarını içeren bir penetrasyon testinin çeşitli adımlarında yönlendirir.


Bu penetrasyon testi standardı sayesinde test uzmanları, potansiyel olarak savunmasız alanlardan faydalanmaya odaklanmadan önce kendilerini organizasyon ve teknolojik bağlamıyla tanıştırırlar ve bu da denenebilecek saldırıların en gelişmiş senaryolarını belirlemelerine olanak tanır. Test kullanıcılarına ayrıca, daha önce tanımlanan güvenlik açıklarının başarılı bir şekilde giderildiğini doğrulamalarını sağlamak için, gerekirse sömürü sonrası test yapma talimatı da verilir. Bu standartta sağlanan yedi aşama, yönetim ekibinizin kararlarını vermek için güvenebileceği pratik öneriler sunan başarılı bir penetrasyon testini garanti eder.


5. ISSAF

ISSAF standardı (Bilgi Sistemi Güvenlik Değerlendirme Çerçevesi), penetrasyon testine önceki standarttan daha da yapılandırılmış ve özel bir yaklaşım içermektedir. Kuruluşunuzun benzersiz durumu, tamamen içeriğine göre kişiselleştirilmiş gelişmiş bir metodoloji gerektiriyorsa, bu kılavuz penetrasyon testinizden sorumlu uzmanlar için yararlı olmalıdır.


Bu standartlar, bir test cihazının penetrasyon testi prosedürünün planlama, değerlendirme, raporlama ve artefaktları yok etmeye kadar her adımını titizlikle planlamasına ve belgelemesine olanak tanır. Bu standart, sürecin tüm adımlarını karşılar. Farklı araçların bir kombinasyonunu kullanan pentesters, her adımı belirli bir alete bağlayabildikleri için ISSAF'ı özellikle çok önemli bulmaktadır.


Daha ayrıntılı olan değerlendirme bölümü, prosedürün önemli bir bölümünü yönetir. Sisteminizin savunmasız her alanı için, ISSAF bazı tamamlayıcı bilgiler, çeşitli saldırı vektörleri ve bir güvenlik açığından yararlanıldığında olası sonuçlar sunar. Bazı durumlarda, test kullanıcıları gerçek saldırganların bu alanları hedeflemek için yaygın olarak kullandıkları araçlar hakkında da bilgi bulabilirler. Tüm bu bilgiler, sistemlerini siber saldırılardan korumak isteyen bir şirket için büyük bir yatırım getirisi garanti eden, özellikle gelişmiş saldırı senaryolarını planlamaya ve yürütmeye değer.

e-posta listesine katılın

©eXofen Siber Güvenlik ve Danışmanlık Hizmetleri