Netsec‘de konusu gecti… Ben de onumuzdeki donem icin firma secimi yaparken nelere dikkat edecegimiz konusundaki fikirlerimi paylastim. Penetrasyon testleri yaptiracak arkadaslara fikir verebilir…
Penetration test mi yaptirmak istiyorum Vulnerability Assessment mi? (Bu isi yaptigini soyleyen firmalar klasik piyasada bilinen aciklar vs haricinde kendisi duruma gore acik yakalayabiliyor mu, bunu degerlendirebiliyor mu?)
Internal(icerden) mi, external(disardan) mi penetration test mi yaptirmaliyim ? Yoksa her ikisini de mi? Her ikisini de yaptiracaksam bu testleri ayni firmalara mi yaptirmaliyim, yoksa farkli firmalara mi. Benim tercihim bildigim farkli firmalarla calismak.
White box/Gray Box/Blac box [1] pentest yontemlerinden hangisini tercih etmeliyim? Ic testlerde whitebox yonetimini tercih etmek islem zamaninin kisaltip daha fazla sistemin incelenmesini saglayabilir.(sistemin buyuklugu ile tercih degisebilir)
Penetration test yapan firma nasil bir rapor sunuyor? Klasik Vuln. Assessment araclarinin raporlari haricinde gerekli teknik detayi da bir olcude sunmali. Detayli teknik rapor sunanlar, aciklarin gideriminde daha faydali olacagi icin tercih edilmeli.
Isin buyuklugune gore firmanin yeterli uzman eleman sayisi var mi? Sistemimdeki unix, windows, sap, web app. vs gibi farkli uygulamalarin her birinin konusunda uzman kisilerce denetlenmesini tercih ederim.
Disariya acik web uygulamalarim varsa takimin icinde ozellikle web uygulama guvenligi tarafinda detayli inceleme yapabilecek uzmanin olmasi yararima olacaktir.
Fiyat 🙂
Ne sure aralikla penetration test yaptirmak istiyorum.( buyuk olcekli bir yapida yilda 2 tane genel penetration test yeterlidir kanimca, diger zamanlarda acikliklarin giderilmesi ile ugrasiliyor.)
Sececegim firmanin guvenilirligi, referanslari, yaptigi NDA’ya uymasi. (Yarin benim sistemimde buldugu ozel bilgileri baska agizlardan duyarsam bu firma ciddi manada guvensizligi dogurur)