Tehditler çok daha yaygın ve dinamik hale geldikçe, kuruluşlar kapsamlı bir güvenlik stratejisi oluşturmak için sızma testi gibi proaktif güvenlik önlemleri alıyor.
Pentesting, yazılım ve donanım kontrollerinin, bir saldırganın güvenlik açıklarını ortaya çıkarmak için kullanacağı aynı araçlar ve teknikler kullanılarak uygulandığını doğrular. Bu şekilde kuruluşlar, genel bilgi güvenliği programlarındaki boşlukları belirleyebilir ve yama yönetimi ve olay müdahale programlarının etkinliğini ölçebilir.
Bununla birlikte, modern DevSecOps ekipleri, geleneksel pentesting angajmanlarının sağlayabileceğinden daha fazla hız ve esnekliğe ihtiyaç duyar. Artımlı pentesting programları, aynı anda daha küçük segmentlere odaklandıkları için güvenlik açıklarını daha sık tanımlamaya ve gidermeye yardımcı olabilir.
DevSecOps ekiplerinin ihtiyaçları göz önünde bulundurulduğunda, hizmet olarak teste (PTaaS) nüfuz etmek daha yüksek bir profil görüyor.
Geliştirme Ekipleri, Pentesting’i DevSecOps ile Uyumlulaştırıyor
PTaaS şirketi Cobalt, güvenlik ekiplerinin penetrasyon testini sürekli entegrasyon ve sürekli teslimat (CI/CD) boru hattı ile uyumlu hale getirmesine yardımcı olmak için yeni Çevik Pentesting hizmetini duyurdu. Daha küçük pentest etkileşimleri, güvenlik ekiplerinin erişimini genişletmeye ve güvenli derlemeden yayınlamaya kadar olan zaman çizelgelerini hızlandırmaya yardımcı olabilir.
Cobalt’ın CISO’su Andrew Obadiaru, bu teklifin son kullanıcılarının, Pentesting’i DevSecOps süreçlerine daha yakın hale getirmek isteyen güvenlik ve geliştirme ekipleri olduğunu söylüyor.
“Bunlar, uyumluluk yükümlülüklerinin ötesine geçen ve bir varlığın belirli bir alanına veya bir varlık genelindeki belirli bir güvenlik açığına odaklanan daha hedefli testler yürüten ekiplerdir” diyor.
Çevik Pentesting teklifi, kuruluşların yeni bir özellik veya ürün sürümü, belirli güvenlik açığı veya artımlı testler gibi bir varlığın belirli bir alanına odaklanmasına olanak tanır.
Obadiaru, “Odaklanmış sızma testi, kuruluşların ve BT ekiplerinin, üretime geçmeden önce belirli bir ürün veya özellikteki olası güvenlik açıklarını veya güvenlik kusurlarını hızla belirlemesine olanak tanır” diye ekliyor.
Riske Dayalı Bir Çaba Artımlı Pentesting
Otomatik bir tehdit modelleme sağlayıcısı olan ThreatModeler’ın CTO’su John Steven, artımlı sızma testiyle ortaya çıkan önceliklendirmenin bir parçasının, test kapsamının yeni özellikler ve sürüm vaatleriyle uyumlu hale getirilmesi gerektiğini söylüyor.
“Bu, teslimat ile güvenlik önceliği ve odak arasında doğal bir uyum yaratıyor” diye açıklıyor. “Ayrıca, hızlı bir fayda var: kusur araştırmaları, kod dalgalanmalarının, hataların – ve güvenlik açığının – bulunma olasılığının daha yüksek olduğunu gösteriyor.”
Steven, “kirli sırrın” tüm sızma testlerinin artımlı olması olduğunu ekliyor.
“Küçük bir sistemi bile kapsamlı bir şekilde test etmek aylar alır” diyor. Penetrasyon konusunda kademeli bir duruş sergilemek, önce çabanın ‘risk temelli’ olduğunu kabul eder ve en etkili ve olası olana öncelik verir.”
İkincisi, faaliyetin teslimat ritmine daha yakından uymasını sağlar, böylece sonuçlarına üretimdeki savunmasız sistemlerin minimum (varsa) maruz kalma süresi ile hareket edilebilir.
“Penetrasyon testi çabalarını, tehdit modellemenin yüksek etkiye sahip olduğunu ve endişe verici bir düşman popülasyonu için potansiyel olarak muhtemel olduğunu gösteren şeylerle sınırlamak, belki de kuruluşların yapabileceği en önemli optimizasyondur” diye ekliyor.
Kitle kaynaklı bir siber güvenlik uzmanı olan Bugcrowd’un işletme müdürü Dave Gerry, pentesting ile ilgili uzun süredir devam eden bir zorluğun, testlerin “belirli bir zamanda” doğası olduğunu söylüyor.
“Önceden tanımlanmış bir zaman diliminde, uygulamanın o sırada geçerli sürümüne karşı test tamamlanır ve bir rapor teslim edilir” diyor.
Buradaki zorluk, geliştirmenin yıllar içinde önemli ölçüde değişmesi ve genellikle bir pentest tamamlanıp rapor teslim edildiğinde, uygulama değişiklikleri nedeniyle bilgilerin zaten güncel olmamasıdır.
Gerry, “Uygulama üzerinde artımlı testleri tamamlayarak, daha küçük kapsam daha hızlı test geri dönüşüne izin verdiği için güvenlik kuruluşları uygulamanın güvenlik duruşuna ilişkin güncel ve sürekli görünürlük elde edebilir,” diye açıklıyor.
Bu, güvenlik kuruluşlarının uygulama, ağ veya kapsam dahilindeki altyapının mevcut güvenlik durumuna ilişkin gerçek zamanlı bilgiler almasını sağlar.
Otomasyon Sürekli Teste Yardımcı Olur
Siber güvenlik danışmanlık hizmetleri sağlayıcısı Coalfire’da penetrasyon testi ve bulut hizmetleri başkan yardımcısı Jason Rowland, bilgi güvenliği topluluğunun karşılaştığı kaynak kısıtlamaları göz önüne alındığında sürekli testin, test cihazlarının kullanımını en üst düzeye çıkaran ve olabilecek işleri boşaltan bir yaklaşım gerektireceğini söylüyor. otomatik.
Rowland, “Örneğin, saldırı yüzeyi keşfi ve güvenlik açığı tanımlaması gerçekleştirmek için platformları kullanmak, saldırgan güvenliğin gerçek değerini ortaya çıkardıkça yaygınlaşacaktır” diyor.
Çok sayıda güvenlik açığı, güvenlik uyarısı ve çerçeveden etkilenen bir endüstri olarak, düşmanın davranışlarına öncelik vermek netlik sağlar ve sınırlı güvenlik kaynaklarının kullanımı konusunda daha iyi kararları kolaylaştırır, diyor.
Rowland, “Bu model benimseniyor ve kuruluşlar güvenlik olaylarının etkisini en aza indirmeye yönelik belirli sonuçları sağlayan faaliyetlere odaklandıkça yaygınlık kazanmaya devam edecek.”
Obadiaru, sızma testinin gelişmiş güvenliğe yönelik modernleştirilmiş bir yaklaşım olmasına rağmen, özellikle siber saldırılar daha yaygın ve karmaşık hale geldikçe, bu süreç ve yöntemin gelişmeye devam edeceğini de ekliyor.
“Güvenlik araçlarının güçlü kalması ve artan taleplere ayak uydurması gerekecek” diyor. “Muhtemelen birleşme ve satın almalar, güvence ve mevzuata uygunluk gibi geleneksel olmayan güvenlik alanlarında da pentest kullanımının arttığını göreceğiz.”
PTaaS, Gerçek Zamanlı Öngörüler Sunar
Gerry, son birkaç yılda geleneksel pentestten PTaaS’a geçişin arttığına dikkat çekiyor.
“Organizasyonlar, anlık değerlendirmelerden ziyade, iç veya dış gereksinimlere uyumu sürdürmek için gerekli bir kötülükten ziyade, risk ve güvenlik programlarında önemli bir araç olarak pentestten yararlanıyor” diyor.
Güvenlik ekiplerinin bir PTaaS teklifinden yararlanarak, bir SaaS platformu aracılığıyla sonuçları gerçek zamanlı olarak görüntüleme, penttesting’i geliştirme ve güvenlik ürün paketlerine entegre etme ve yeniden testler, odaklanmış kapsamlı testler ve yeni ürün yetenekleri arasında sürekli testler oluşturma becerisi kazandığını açıklıyor. test yapmak.
Gerry, “Bir ağda veya uygulamada yapılan her değişiklik, ister büyük bir sürüm ister artımlı sürüm olsun, yeni güvenlik açıklarının ortaya çıkması için bir fırsatı temsil eder” diyor. “Güvenlik kuruluşları, hem risk yönetişimi perspektifinden hem de uyum perspektifinden mevcut durum hakkında gerçek zamanlı görünürlük kazanma yeteneğini korumalıdır.”
Rowland, kuruluşlar, kuruluşlarını hedef alma olasılığı en yüksek olan aktörlerin taktiklerine, tekniklerine ve prosedürlerine dayalı olarak savunma ve tespit yeteneği yatırımlarına öncelik vermeye başladıkça, saldırı güvenliğinin rolünün giderek daha fazla bütünleştiğini ve güvenlik stratejisinin başarısı için merkezi hale geldiğini söylüyor.
“Düşmanın taktikleri ve yüzey saldırıları dinamik olduğundan, saldırgan güvenlik, programın hızına ayak uydurduğunu sürekli olarak doğrulamalıdır” diye açıklıyor. “Savunmalara dayalı yeni istihbarat, mimari değişiklikler veya yeni varlıkların tanıtımına yönelik ayarlamaları yönlendirmek ve doğrulamak için düzenli testler gereklidir.”
Steven, pek çok kişinin sızma testini “saldırgan merkezli” bir şekilde düşündüğüne inanıyor ve sızma testinin yazılım ve platformlar söz konusu olduğunda da son derece teknolojiye özel bir arayış olduğunu unutuyor.
“ATM’ler, otomotiv, sağlık, Web ve mobil için uzman ekiplerin gerekli olduğunu gördük” diyor. “Yine başkaları anabilgisayar ve işletim sistemi düzeyinde sızma testi yaptı.”
Uygulamalar buluta taşınırken, penetrasyon testi ve bu aktiviteye hizmet eden ekiplerin uyum sağlaması gerektiğini söylüyor.
Steven, “Bulut tek bir monolit değil – her biri onlarca veya yüzlerce belirli API’ye ve kontrol setine sahip birkaç büyük sağlayıcı” diye ekliyor. “Penetrasyon testçileri, artık bir veri merkezi veya IP aralığı ile sınırlı olmayan, yayılan bulut tabanlı varlıkları keşfetmek için araçlar kullanmak zorunda kalacak ve ardından herhangi bir oyun içi düzenleme platformu, kontrol düzlemi ve sağlayıcı tarafından kullanılan teknoloji yığınlarında hızla uzman olacaklar. “