Pentest oncesi ne hazırlanmalı?

Pentest oncesinde guncel bir varlık envanteri, yazılı kapsam ve angajman kuralları, dogrulanmış yedekler, tanımlı bir irtibat kişisi ve eskalasyon zinciri, degişiklik dondurma penceresi ve WAF, EDR, SOC ekipleriyle mutabakat gerekir.

ROE (Angajman Kuralları), test ekibinin neler yapabilecegini tanımlayan yazılı yetkilendirmedir: hedefler, izin verilen teknikler, zamanlama, dışında tutulanlar ve acil durum irtibatları. Hem hukuki hem operasyonel olarak iki tarafı da korur.

Test prod'da mı yapılır?

Duruma baglıdır. Uretim en gercekci sonucları verir ancak erişilebilirlik riski taşıdıgından degişiklik dondurma ve yedek gerektirir. Canlı servis riski kabul edilemezse, uretimi yansıtan bir staging ortamı daha guvenlidir.

Hazırlık neden onemli?

Hazırlık; bosa giden butce, yanlış alarmlar ve kesintileri onler. Hazır bir kuruluş daha temiz bulgular alır, hukuki riskten kacınır ve testi kaos yerine uygulanabilir iyileştirmeye donuşturur.

Sızma Testine Hazır mısın?

10 soruyu yanıtlayın, bir sızma testine ne kadar hazır oldugunuzu puanlayın ve profesyonel bir firmanın tek bir paket gondermeden once neleri kontrol ettigini gorun.

1. Test kapsamındaki tüm varlıkların (IP, alan adı, uygulama, API) güncel bir envanteri var mı?

2. Test kapsamı (hedefler, dışında tutulanlar, derinlik) yazılı olarak net biçimde belirlendi mi?

3. Yazılı yetkilendirme ve angajman kuralları (ROE) imzalandı mı?

4. Testin üretim mi yoksa test/staging ortamında mı yapılacağına karar verildi mi?

5. Test öncesinde doğrulanmış, geri yüklenebilir yedekler alındı mı?

6. Test süresince ulaşılabilir bir irtibat kişisi ve eskalasyon zinciri tanımlandı mı?

7. Test penceresi için bir değişiklik dondurma (change freeze) zaman aralığı planlandı mı?

8. WAF, EDR ve SOC ekipleri testten haberdar edildi mi (alarm/engelleme kararları netleşti mi)?

9. Önceki testlerde veya taramalarda bulunan bilinen zafiyetler giderildi mi?

10. Hassas veri işleme, KVKK ve gizlilik şartları konusunda hukuki mutabakat sağlandı mı?

0/100 · Hazır Değil

0/10 soru yanıtlandı. Net bir hazırlık skoru için tüm maddeleri yanıtlayın.

Test başlamadan önce bunları giderin:

Test kapsamındaki tüm varlıkların (IP, alan adı, uygulama, API) güncel bir envanteri var mı?
Test kapsamı (hedefler, dışında tutulanlar, derinlik) yazılı olarak net biçimde belirlendi mi?
Yazılı yetkilendirme ve angajman kuralları (ROE) imzalandı mı?
Testin üretim mi yoksa test/staging ortamında mı yapılacağına karar verildi mi?
Test öncesinde doğrulanmış, geri yüklenebilir yedekler alındı mı?
Test süresince ulaşılabilir bir irtibat kişisi ve eskalasyon zinciri tanımlandı mı?
Test penceresi için bir değişiklik dondurma (change freeze) zaman aralığı planlandı mı?
WAF, EDR ve SOC ekipleri testten haberdar edildi mi (alarm/engelleme kararları netleşti mi)?
Önceki testlerde veya taramalarda bulunan bilinen zafiyetler giderildi mi?
Hassas veri işleme, KVKK ve gizlilik şartları konusunda hukuki mutabakat sağlandı mı?

Sızma testi talep et

Pentest oncesi hazırlık

En degerli iş test oncesinde yapılır. Net bir varlık envanteri, tanımlı kapsam, dogrulanmış yedekler ve bir degişiklik dondurma penceresi, riskli bir egzersizi kontrollu bir çalışmaya donuşturur. Savunma ekipleriniz habersiz kalırsa, angajmanı kendi alarmlarınızı kovalayarak harcarsınız.

Pentest sureci, fiyat ve ne zaman gerekli

ROE ve yetki

Saygın hicbir firma yazılı angajman kuralları olmadan test yapmaz. ROE; hedefleri, izin verilen teknikleri, takvimi, dışında tutulanları ve acil durum irtibatlarını tanımlar. Tum angajmanın hukuki ve operasyonel omurgasıdır ve hem müşteriyi hem test ekibini korur.

Pentest yapan firmalar nasıl secilir

Kapsam belirleme

Kapsam; testin uretimde mi yoksa staging'de mi yapılacagına, ne kadar derine inilecegine ve nelerin sınır dışı kalacagına karar verir. Sıkı ve yazılı bir kapsam, testi onemli varlıklara odaklı tutar ve hic dokunulmaması gereken sistemlere kazara etkiyi onler.

DSET ile gorusun, Ankara merkezli siber guvenlik şirketi. Telefon: +90 536 662 38 09 · E-posta: [email protected]