Pentest Firması Seçerken Dikkat Edilmesi Gereken Hususlar Nelerdir?

Pentest hizmeti kurumlar için kritik bir konu olduğu kadar yöneticiler tarafından belirsizliğin olduğu ve planlanması zor bir süreç içermektedir. Kurumunuza özel sızma testi gerçekleştirebilmek için Pentest firması seçerken bazı hususlarda dikkatli olmanızı tavsiye ederiz.

Bir sızma testi hizmeti veren Pentest firması ile anlaşılmadan önce kurum varlıkları hakkında bilgi verirken dikkatli olmalı ve karşılıklı güvene dayalı bir ilişki içerisinde olmak gerekir. Hassas bir konu olması, kurum güvenliğine risk oluşturabilecek bilgilerin fiyat teklifi aşamasında karşı tarafa verilirken minimum düzeyde tutulması gereklidir. Sonraki aşamalarda ise bir NDA sözleşmesi imzalanarak doğabilecek zararlara karşı kurumunuzun hukuki desteğini sağlamalısınız.

Pentest firmaları bu süreçlerde maalesef ki karşılıklı güvene dayalı ilişkiden dolayı NDA sözleşmesi noktasında bazı noktalar için itiraz edebilmektedirler. Bu süreçler içerisinde kurumunuzu güvende tutmak ve olası bir güvenlik riskine karşın tüm tedbirleri almak durumundasınız.

Kurum ağına Pentest gerçekleştirecek olan firma ile NDA imzalandıktan sonra sızma testi yapan firmanın her hareketinin loglanması ve kayıt altında tutulması hem olası yanlış anlaşılmaların önüne geçecek hem de olası zararların karşılanması için hukuki yolların kullanılabilmesini sağlamaktadır.

Pentest Firması Seçerken Dikkat Edilmesi Gereken Hususlar Nelerdir?

Hangi sızma testi türünde olursa olsun kurumunuza Pentest yapacak olan firmanın işlemleri gerçekleştireceği ip adresleri belirlenmeli ve bu ip adreslerin dışında hiçbir işlem yapmamaları gerektiği NDA sözleşmelerinde açıkla belirtilmelidir. Bu sayede Web, Mobil gibi varlıklarınıza yapılan saldırılarda hangilerinin siber saldırganlar, hangilerinin ise Pentest firması tarafından yapıldığı da tespit edilebilir. Elbette ki süreçler bitene kadar bu loglama işlemlerinin tamamlanması ve belirlenen süre içerisinde saklanması zorunlu olmalıdır.

Kurumunuza sızma testi gerçekleştirecek olan firmadan öncelikle aşağıdaki bilgileri talep etmelisiniz.

  1. Pentest yapacak olan sızma testi uzmanlarının CV ve geçmiş tecrübeleri.
  2. Sızma testi gerçekleştirecek olan uzman personelin yetkinlik belgeleri.
  3. Sızma testi yapacak olan firmanın önceki referansları
  4. Pentest hizmetini gerçekleştirecek olan firmanın örnek Pentest raporları ve çalışmaları
  5. Teknik altyapınızın ve kapasitenizin belirtilerek bu kapasiteyi aşmadan işlem yapmaları gerektiği
  6. Müşterilerinizin minimum seviyede olduğu gün ve saatlerin seçilmesi ve bu saatlerin dışına çıkılmaması
  7. Sızma testi yapacak olan personelin kullanmış olduğu IP adresleri veya sunucuların bilgileri
  8. Sızma testleri sırasında kullanılacak olan araç ve uygulamaların listesi

Bu bilgilerin yanı sıra, ebetteki fiyat teklifi süreçlerinde aşırı oynamalara (çok yüksek veya çok düşük) dikkat edilmesi, tecrübesiz kişilerin gönderilmesine karşın kimlik kontrolü ve benzeri birçok durumun da kurum sızma testleri sırasında dikkatle incelenmesi gerekmektedir. Diğer bir yandan mümkünse Pentest firmasından öncelikli bir örnek rapor alınarak siber güvenlik uzmanları tarafından dikkatle bu raporların incelenmesini tavsiye ederiz.

Bir Sızma Testi Planı Nasıl Yapılır?

Öncelikle kurum ağına yapılacak olan sızma testi için bir sızma testi türü seçilmelidir. En güvenli yöntem olan White Box sızma testi türünden faydalanabilir, daha sonraki testlerde grey box veya black box türlerine geçiş yapabilirsiniz. Sonrasında ise kurum varlıklarına göre iç veya dış test türü seçilerek alanında uzman bir firma ile iletişime geçmenizi tavsiye ederiz. Sızma testi firması ile fiyat teklifi aşamasından hemen sonra NDA sözleşmeleri imzalanmalı ve gerekli hukuki destek için avukatlardan bilgi alınmalıdır. Ardından Pentest hizmetini verecek olan firma ile bir araya gelerek riskler belirlenmeli ve kurum işlerliğinin devam etmesi hususunda gerekli önlemlerin yazılı olarak bildirilmesi kurum yararına olacaktır. Kuruma iletilen sertifikasyon ve referans bilgilerinin ise muhakkak ki doğrulanması ve daha önce sızma testi gerçekleştirdiği refere edilen firmalar ile iletişime geçilerek Pentest firmasının nasıl bir hizmet verdiğine dair bilgi almak gereklidir.

Kurumunuza sızma teti yaptırmak ve fiyat teklifi alabilmek için info@priviasecurity.com adresimiz ile iletişime geçebilir veya IT Sızma Testleri sayfamızdan detaylı bilgi alabilirsiniz. Kurumunuza Privia Security olarak her türde ve çeşitte sızma testi gerçekleştirebildiğimiz gibi NDA sözleşmeleri imzalayarak belirlenen kuralların dışına çıkılmadığı tarafımızda garanti altına alınmaktadır.