Hva er forskjellen på sårbarhetstesting og penetrasjonstesting?

Chris Dale | 4 minutter lesetid


Begrepene sårbarhetstesting og penetrasjonstesting (forkortet ‘pentesting’) brukes ofte om hverandre, men det er ikke helt det samme. I dette innlegget forklarer vi forskjellen på disse to fagdisiplinene innenfor IKT-sikkerhetstiltak.

 

Både sårbarhetstesting og penetrasjonstesting utgjør en sentral del av et helhetlig arbeid for å beskytte virksomheten mot interne og eksterne trusler.

 

penetration_testing_vs_vulnerability_assessment-01

 

Sårbarhetstesting – automatisert via verktøy

Sårbarhetstesting gir deg en oversikt over sikkerhetshull i nettverk, infrastruktur eller applikasjoner. Sårbarhetstester er ofte automatisert via verktøy som skanner etter kjente sårbarheter basert på databaser som referanse.

En slik sårbarhetsscanning er en automatisert prosess, gjerne satt i system, hvor man regelmessig scanner for å avdekke kjente feil, f. eks. manglende patcher, m.m.

 

Penetrasjonstesting – manuell hacking

Penetrasjonstesting er manuell hacking av nettverk, applikasjoner og infrastruktur. Gjennom å forsøke å bryte seg inn i dine datasystemer simulerer penetrasjonstestere hvordan en målrettet angriper vil angripe dine systemer og din bedrift.

Penetrasjonstesting forsøker å utnytte sårbarhetene som sårbarhetstesting avdekker, for å bekrefte eller avkrefte problemer, samt avdekke hvor stor risikoen er. Dette gir et godt bilde av hvilken forretningsrisiko som eksisterer i organisasjonen, og tillater deg å rette opp i problemene før de blir utnyttet av andre.

Sårbarhetstesting er en del av penetrasjonstesting, men penetrasjonstesting avdekker flere sårbarheter, også sårbarheter som sårbarhetstesting med automatiserte verktøy ikke klarer å avdekke.

Penetrasjonstesting er et høyt spesialisert fagfelt som krever at man holder seg godt oppdatert innenfor både IT og IT-sikkerhet. Penetrasjonstestere må være nysgjerrige, oppdatert og meget innsiktsfulle innenfor mange tekniske områder.

 

Hvordan vil en hacker bryte seg inn i dine datasystemer?

En sårbarhetstest krever mindre kompetanse enn en penetrasjonstest, men er likevel svært viktig å gjennomføre. Mange kjører periodiske sårbarhetstester for deretter å patche eller forbedre systemer, mens penetrasjonstesting gjerne blir utført når man ønsker å avdekke risiko forbundet med en sårbarhet.

Det er større fokus på den menneskelige faktoren i en penetrasjonstest, og man ønsker i utgangspunktet å jobbe slik en hacker ville gjort for å komme seg inn.

 

Sammendrag

Sårbarhetstesting går ut på å finne kjente sårbarheter og sikkerhetshull i dine systemer og gir deg en oversikt over funnene. Penetrasjonstesting går ut på faktisk å utnytte disse systemsvakhetene, med det formål å belyse hvilken forretningsrisiko som foreligger i organisasjonen.

Mens sårbarhetstesting kan automatiseres, krever penetrasjonstesting spisskompetanse og gjøres manuelt. Kort sagt utføres sårbarhetstesting av en tekniker, mens penetrasjonstesting utføres av en sertifisert penetrasjonstester, også kjent som en etisk hacker.

Du kan lese mer om etisk hacking / penetrasjonstesting i vår lettleste guide “Offense must inform defense”.

 Gratis ebok: Offense must inform defense

 



NO|EN