Sızma Testi ve Ödül Avcılığı... - Gais Security- Gais Siber Güvenlik Teknolojileri

Sızma Testi ve Ödül Avcılığı Hizmetleri

Sızma Testi ve Ödül Avcılığı

Sızma testi, sistemlerin veya uygulamaların zayıf noktalarının tespit edilip neler yapılabileceğinin ortaya çıkarıldığı ve nasıl önlemler alınması gerektiğinin belirlendiği güvenlik araştırmacıları tarafından yapılan test sürecidir.

Test edilen sistem veya uygulamanın ne tür güvenlik açıklarının bulunduğunu belirleyerek, bu açıklıkları kullanarak etkilerinin tespit edildiği bir simülasyondur. Bu süreçte testi yapan firma ile testin yapıldığı firma arasında gizliliğe dayanan bir anlaşma vardır. Bu anlaşma kapsamında güvenlik araştırmacıları sistem üzerinde çeşitli senaryolar deneyerek güvenlik açıklarını araştırmaya başlamaktadır. Araştırma süreci sonrasında testin yapıldığı firmaya sistemlerin zayıf noktalarının ve bu zayıf noktaların nasıl daha güvenli hale getirilebileceği belirtilmektedir. Firma güvenlik zafiyetlerini kapattıktan sonra testi yapan firma tarafından kapatılıp kapatılmadığının kontrol etmesi ile süreç tamamlanmaktadır.

Sürekli Sızma Testi Nedir?

Sızma testleri, bütçe ve zamandan kaynaklı olarak belli zaman aralıklarında yapılmaktadır. Testin yapıldığı firma testin yapılacağından haberdar olduğundan daha temkinli davranmaktadır. Kötü niyetli kişiler ise firmalara herhangi bir zamanda saldırabilir. Bu saldırı sonucunda sistemler ve çalışanlar hazırlıksız yakalanmaktadır. Sürekli sızma testi ile firmalar ve çalışanlarda gerçek bir saldırı karşısında nasıl davranmaları gerektiği konusunda kendilerini geliştirmiş olurlar. Saldırı anında gerçekleştirilecek olan felaket senaryoları önceden görülüp,  süreçlerin olgunlaşması sağlanacaktır. Aynı zamanda yeni geliştirilen bir uygulama, özellik veya sistem bir sonraki sızma testini beklemektense daha önceden test edilmiş olacaktır. Yeni çıkan bir zafiyet envanter takibi ile hızlıca bildirilip önlem alınması sağlanmaktadır.

Ödül Avcılığı Programı (Bug Bounty)

Bir sistem ya da uygulamaya ne kadar çok güvenlik araştırmacısı bakarsa farklı bakış açıları ile farklı zafiyetler çıkartabilmektedir. Ödül avcılığı programlarında ise firmalar bakılması istedikleri uygulamaları belirlerler. Güvenlik araştırmacıları belirlenen uygulamalarda buldukları güvenlik açıkları karşılığında çeşitli ödüller almaktadır. Firmalar uygulamalarına birçok güvenlik araştırmacısı baktığından dolayı daha fazla riskleri görmeleri sağlanmış olur. Güvenlik araştırmacıları ise sistemler üzerinde buldukları açıklıklar sayesinde ödüller kazanmaktadır. İki tür ödül avcılığı programı vardır. Bunlar;

Açık Ödül Avcılığı Programı (Public Bug Bounty)

Sistem ya da uygulamaların isteyen tüm güvenlik araştırmacılarının güvenlik açığı arayabildiği programlardır.

Gizli Ödül Avcılığı Programı (Private Bug Bounty)

Sistem ya da uygulamaların belli güvenlik araştırmacılarına yetki verilerek zafiyet aramaları yapılan ödül avcılığı program türüdür.

 


Adem KANAT 30.12.2019