Cuma, Kasım 24, 2006

Penetration Test

Penetrasyon Testlerinin Eksiklikleri http://www.bilgiguvenligi.org/2006/10/penetrasyon-testlerinin-eksiklikleri.html
yazısında, bu testlerin bazı eksiklikleri dile getirilmis.

Yazıda da değinildiği üzere, kısa sürede yapılan bu testlerin çok verimli olabilmesi de beklenmemeli

"False sense of security" durumuna da dikkat etmek gerekir.
Yani nasılsa testi geçti - güvendeyiz hissi yanlıştır.
Bulunamayan zafiyetler veya gelecekteki zafiyetler ne olacaktır?

Tabii ki hiç yoktan iyidir, saldırgan'lar bulmadan temel zafiyetleri kapatmaya,
zafiyet alanını daraltmaya yararlar.

Zafiyet testi, öncelikle anlık bir testtir,
Yani gelecekte var olabilecek, ya da bulamadığı zafiyetleri içeremez.
Düzenli olarak uygulanması gerekecektir.

Ranum'un güvenlikte 6 yanlış fikiri içerisinde de penetration da geçiyor
http://www.ranum.com/security/computer_security/editorials/dumb/

Ranum'un Her dediğine katılamasam da, katıldığım ciddi noktalar da var.
Schneier'in sayfasındaki tartışmalar ilginizi çekebilir.
http://www.schneier.com/blog/archives/2005/09/marcus_ranums_t.html

Bu testlerin daha başarılı olabilmesi için, ağ farkındalığı "network awareness" da gerekecektir. Bu yüzden, ağı iyi bilen bir ekiple birlikte çalışılması ve destek alınması zaman kazandıracak ve daha iyi sonuçlara yol açacaktır.

Ar.Gör. Enis Karaarslan
ULAK-CSIRT