Hva er penetrasjonstesting?

Chris Dale | 5 minutter lesetid


Penetrasjonstesting er betegnelsen på inntrengningsforsøket en etisk hacker, ansatt i et IT-sikkerhetsfirma, gjør på oppdrag for eieren av et datasystem, nettverk og/eller applikasjoner.

Formålet med penetrasjonstesting er å identifisere sikkerhetshull og systemsvakheter, og peke på hvor din bedrift eller organisasjon trenger å iverksette kortsiktige og langsiktige tiltak for å styrke forsvaret mot angrep.

Ved å forsøke å bryte seg inn i dine datasystemer simulerer penetrasjonstesterne hvordan en målrettet angriper vil angripe dine systemer og din bedrift.

Dette gir et godt bilde av hvilken forretningsrisiko som eksisterer i virksomheten, og tillater dere å rette opp i problemene før de blir utnyttet av aktører med onde hensikter.

 

Rapport med anbefalte tiltak

Penetrasjonstesting avsluttes med en rapport som på en god og forståelig måte beskriver bedriftens og systemenes aktuelle forretningsrisiko som eksponeres mot trusselaktørene.

Rapporten går detaljert gjennom testingen og funnene som har blitt gjort. I tillegg får du anbefalinger av hvilke tiltak du bør gjøre, basert på “beste praksis”.

Rapporten vil minimum omfatte følgende temaer:

 

Ledelsesoppsummering

I ledelsesoppsummeringen drøftes gjennomføringen av oppdraget, og dessuten kortsiktige og langsiktige tiltak for å styrke sikkerheten og redusere forretningsrisiko som rapporten beskriver.

 

Løsninger/tiltak

Typisk får du anbefalinger om flere tiltak for enhver risiko som rapporten beskriver. For eksempel vil en manglende patch på en server kunne ha en ...

a) primær løsning, som er å patche serveren

b) en sekundærløsning, som drøftes i ledelsesoppsummeringen og beskriver et «patch management»-system

c) en tredje løsning, som omhandler intern sårbarhetsscanning utført av kunde regelmessig og implementering av «lntrusion Prevention»-systemer.

 

Scenario

I mange tilfeller får du også en beskrivelse av et scenario som viser hvordan sårbarheten har latt seg utnytte, og hvordan den har eksponert risiko.

For eksempel kan en risiko illustreres med skjermbilder som viser hvordan en sårbarhet har blitt utnyttet, og hvordan angriper har knapper tilgjengelig i systemet som kan slå av systemer. Eller også med skjermbilder som viser misbruk av brukernavn og passord på tvers av systemer.

 

Bilag

Rapporten har også et større bilag med temaer som er viktige for oppdraget. Dette er typisk data som er hentet ut i forbindelse med oppdraget, f. eks. hvilke brukere som er identifisert i forskjellige systemer, eller vedlagt liste over potensielt sensitive data.

I appendiks vil også den detaljerte fremgangsmåten som pentestingsteamet har brukt i oppdraget, ligge beskrevet. Hvilke verktøy, teknikker og annet ble brukt? Hvordan har sårbarheten blitt utnyttet?

Alt av arbeid som gjøres i oppdraget, skal dokumenteres overfor deg som kunde, for læring og forbedringsarbeid. Det er samtidig nyttig å dokumentere fremgangsmåte for å bevise hva som er blitt gjort.

For at ikke viktige elementer skal bli uteglemt, blir rapporten utarbeidet underveis i oppdraget. Det er ikke satt av mye tid til skriving av rapport etter endt oppdrag, og dessuten kan kunden gjerne komme med tilbakemeldinger for videre revisjoner av rapporten.

 

Kom angriperne i forkjøpet

IKT-landskapet og trusselbildet er i konstant utvikling. Nye sårbarheter og nye hackermetoder oppstår hele tiden, og disse er du nødt til å ta høyde for. Cyberkriminelle jobber utrettelig med å finne nye måter å bryte seg inn i virksomheter på. Ofte finnes det risiko som bedriften ikke har tenkt på, men som hackere vil utnytte. Dessuten kjenner bedrifter sjeldent til hvor angriperebryter seg inn, og vet dermed ikke hvor forsvaret bør fokuseres.

Er din bedrifts robusthet og sikkerhet god nok til stå imot angriperne?

Skal du klare å hindre at angripere utnytter sårbarheten i dine datasystemer, må du vite hvor det finnes sikkerhetshull, og hvor arkitekturen brister. Derfor er det nødvendig med kontinuerlig penetrasjonstesting, slik at du kan iverksette tiltak før trusselaktører utnytter sårbarhetene og får en “fot innenfor”.

 

Gratis ebok: Offense must inform defense



NO|EN