Son zamanlarda sızma testi yapan şirketlerin sayısındaki artış Türkiye’deki siber güvenlik camiasının konuştuğu ana gündem maddelerinden birini oluşturuyor. Artan sayı ile birlikte sızma testi kalitesindeki düşüş ise ulusal siber güvenlik için giderek büyüyen bir tehlike haline gelirken, kalitesiyle fark yaratan şirketlerin de değerinin bilinmesine yol açıyor.
Türkiye’de siber güvenlik sektörünün önde gelen şirketlerinden olan Lostar son zamanlarda Pentest (sızma testi) ekibinin sayısını 20’ye çıkartarak en geniş teknik ekibe sahip şirket oldu. Geçtiğimiz 3 yıl içerisinde kadrosunu üç kat büyüten şirket, dinamik ve tecrübeli sızma testi takımıyla sektörün standartlarını yukarı çekmeyi hedefliyor.
İlgili yazı>> Şirketler için güvenlik rehberi
Siber güvenlik sektörünün dijital sistemleri daha güvenli hale getirmesi için zafiyet taraması ile sızma testi arasındaki farkın daha iyi bilinmesinin önemli olduğunu kaydeden Lostar’ın Pentest ekibinden Kayhan Kayıhan “Zafiyet taramasında otomatik gereçler sistemi tarar ve güvenlik zafiyeti olarak algıladığı açıklıkları listeler. Fakat zafiyet olarak listelenen bir madde aslında açıklık olmayabilir. Bunun açıklık lup olmadığına bir sızma testi uzmanı kontrol etmelidir.” ifadelerini kullandı.
Sızma testi çalışmalarında işi sadece otomasyon yazılımlara bırakmayan, son sözü tecrübeli uzmanlara bırakan Lostar ekibi, destek verdikleri şirketlere sadece ‘felaket senaryosu’ gibi zafiyetlerle doldurulmuş raporlar sunmuyor.
‘Kök nedenlere odaklanıyoruz, zaman ve insandan tasarruf sağlıyoruz’
Ekibin tecrübeli ismi Kayhan Kayıhan, güvenlik zafiyetlerinin oluşturacağı güvenlik risklerini ve etkilerini de şirketlere raporlarında ilettiklerini vurguladı: “Zafiyetleri listeleyip bırakmak yerine, somut olaylarla örneğin ‘CEO’nun mailini ele geçiren kötü niyetli biri neler yapabilir?’ sorusuna yanıt veriyoruz. Eğer bu zafiyetle devam ederseniz bu yolla kurumdaki tüm kullanıcılar olumsuz etkilenebilir gibi güvenlik risklerini de ortaya çıkartıyoruz.”
Siber tehditlerle mücadele etmek isteyen kuruluşların sızma testi için seçtikleri şirketin kritik bir karar olduğunun altını çizen Kayıhan, bu konuda Lostar’ın farkına dikkat çekerek, iş birliği yaptıkları şirketlerin hem insandan hem zamandan tasarruf edebildiğini açıkladı: “Biz Lostar olarak kök nedenlere odaklanıyoruz. Otomasyon tarama yazılımı sizin önünüze 30 zafiyet koyabilir. Fakat bunların arkasında farklı kök neden bulunabilir. Biz çalışmalarımızda kök nedenleri açıkça gösteriyoruz.Dolayısıyla kuruluşlar 30 zafiyeti teker teker kapatmaya çalışmak yerine, bizim gösterdiğimiz kök nedenlerin üzerine giderek en az eforla daha güvenli sistemlere sahip oluyorlar.”
İlgili yazı >> Penetrasyon testlerinden fazlası için Lostar Security CheckUp
Siber güvenlik çalışmalarına lise yıllarında başlayan uzman, sızma testinin özveri, dikkat ve çok çalışma gerektirdiğini söyledi. Geçtiğimiz yıllarda özellikle finans ve enerji sektöründe yaptıkları testlerde ciddi açıklıkların kapatılmasını sağladıklarını belirten Kayıhan, gece mesaisinin vazgeçilmez olduğu sızma testi işini ‘sevmeyen yapamaz’ diye tarif ediyor.
Lostar’ın ‘genç transferlerle’ genişlettiği sızma testi takımı aynı zamanda bir okul işlevi de görüyor. Teorik bilgiyle saha tecrübesini birleştiren şirketin en önemli özelliklerinden bir tanesi çalışanlarının eğitim masraflarını karşılaması. Güvenlik camiasının yakından takip ettiği Octosec ekibinden aynı zamanda Lostar Pentest ekibinde çalışan Hakan Eryavuz, ulusal ve uluslararası siber güvenlik eğitimlerine şirketi aracılığıyla katılabilmesini büyük bir şans olarak değerlendiriyor.
2017 yılının ilk çeyreğinde Lostar’ın yaptığı 54 sızma testinin neredeyse yarısında çeşitli süreçlere dahil olduğunu anlatan Eryavuz daha çok sosyal mühendislik saldırılarına yoğunlaştığını anlattı. “Başarısız olduğumuz test nadir.” diyen Lostar çalışanı mühendislik amaçlı hazırladığı e-postaların kullanıcılar tarafından gerçek sanılmasını bilgi güvenliği farkındalığının oldukça düşük olmasına bağlıyor. Yönetici onayı ile testlerde sistemi ele geçirene kadar ilerlediğini belirten araştırmacı, bir testte firmanın üretim bandını dışarıdan kontrol edebilir hale geldiğini söyledi.
Sızma testleri yapan şirketler ile yaptıran kuruluşlar arasında ‘güven’ kavramının çok önemli olduğunun altını çizen Hakan Eryavuz, kendi üslubuyla “Müşteri verisi bizim için namustur.” deyip konuyu özetliyor. Şirketin sızma testi süreçlerinde olabilecek yanlışların ciddiyetle üzerine gittiğini belirten beyaz şapkalı hacker, veri mahremiyeti ile ilgili yaşanacak bir sorunun ciddi sonuçlar doğuracağı için her adımın şeffaflık içerisinde atıldığını söyledi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]
