Penetrationstest, en quick fix eller ett systematiskt säkerhetsarbete?

pentest-3-cropped

Vi lever i en orolig tid, där säkerhetsklassificerad information behöver skyddas. Såväl inom din egen verksamhet som samhället i stort. Men oavsett hur du arbetar med informationssäkerhet måste du genomföra regelbundna kontroller för att säkerställa att skyddet fungerar som det är tänkt.

Tyvärr genomför många organisationer en it-säkerhetsgranskning först när de har upptäckt att de har blivit drabbade, vilket är förståeligt men alldeles för sent. I genomsnitt tar det ungefär 200 dagar från att någon har gjort ett intrång, tills intrånget upptäcks och därför behöver du tillämpa ett systematiskt säkerhetsarbete för att skydda din information.

Klassificera dina informationstillgångar

Vår rekommendation är att börja med en analys av it- och informationssäkerhetsplanerna för att se vad verksamheten har tänkt att skydda. Hur viktiga dina informationstillgångar är och hur de ska skyddas ska framgå av matrisen nedan.

matris-informationstillgangar-cropped

Gör återkommande it-säkerhetsgranskningar!

För att kunna hålla en hög nivå av säkerhet krävs att it-säkerhetsrevisioner och penetrationstester genomförs regelbundet. Nya sårbarheter upptäcks dagligen och ett it-system förändras över tiden, vilket gör återkommande granskningar till ett krav. Basalt rekommenderar att minst en it-säkerhetsrevision genomförs varje år på de platser som förvaltningsobjektet finns installerat.

Basalts trestegs-modell

1. It-säkerhetsarkitektur
Baserat på kraven och konsekvenserna från ovan nämnda matris så genomförs en utredning av it-säkerhetsarkitekturen. Är den optimal, eller finns det förbättringsmöjligheter?

2. Sårbarhetsscanning
Nästa steg är sårbarhetsscanning av det system som skall testas. Då genomförs en analys av aktuella sårbarheter från exponerade system.

3. Penetrationstest
Inför nästa steg i processen så behöver du besluta hur du vill utnyttja de eventuella sårbarheterna och vilka delar av de olika systemen du vill testa, exempelvis:

  • Interna system
    • Kontroll av nätverkskomponenter
    • Granskning av tillgänglighet i olika segmenterade delar
    • Genomgång av behörigheter för olika nivåer
  • Externa system
    • Sårbarheter i de it-infrastrukturprodukter som används i förvaltningsobjektet
    • Leta/knäcka svaga lösenord
    • Genomgång av behörigheter för olika nivåer
  • Applikationer
    • Säkerhet i applikationer och webbapplikationer
  • Fjärråtkomst
    • Vi testar säkerheten på de specifika metoderna för fjärranslutning exempelvis Citrix och olika typer av VPN
  • Wifi
    • Räckviddstester för skalskyddet, kontroll av konfigurationer och robusthet mot störningar
    • Identifiering av brister
pentest-2-cropped

Olika typer av penetrationstest

  • Black box-test
    Denna metod innebär att våra penetrationstestare inte har fått någon förkunskap om förvaltningsobjektet, utan ska försöka hitta detta själva genom rekognosering. Denna typ av penetrationstest visar statusen på it-skyddet på det mest realistiska sättet, det vill säga som en antagonist ser det. Generellt hittas färre sårbarheter att utnyttja än vid Gray-box tester. Black box-tester genomförs inte för att stoppa ATP-grupper (Advanced Persistant Threat) som har mycket tid och resurser, utan används för att lokalisera nyupptäckta sårbarheter. Denna typ av penetrationstest passar små- och medelstora företag.
  • Gray box-test
    Denna metod innebär att våra penetrationstestare har viss förkunskap om förvaltningsobjektet, it-arkitekturen eller ett användarnamn (med låga eller få rättigheter i systemet). I och med att en stor del av infrastrukturen är känd för testarna och kortare tid spenderas på informationsinhämtning blir denna typ av penetrationstest tidseffektiv där vi får mycket kunskap om olika brister på kort tid. Denna typ av penetrationstest passar för stora företag eller samhällsviktig verksamhet.
  • White box-test
    Innebär att våra penetrationstestare har fått tillgång till all information om systemet så som arkitektur, produkter, konton och även källkod. Detta för att kunna utvärdera hur systemet är konfigurerat. Här går vi igenom arkitekturen och ser om vi kan hitta sårbarheter i infrastrukturen som går att utnyttja alternativt genomföra en källkodgranskning för att hitta brister i logiken. Denna typ av penetrationstest kan göras på många olika sätt med olika omfattning och passar alla verksamheter samt ger mycket gott resultat på kort tid.

Allt levererat i en fullödig rapport

Efter varje genomförd it-säkerhetsevaluering (där penetrationstest ofta ingår) får du resultat och rekommendationer för it-arkitekturen samlat i en utförligt rapport, som även fungerar som vidare beslutsunderlag.

Om du tänker proaktivt, systematiskt och långsiktigt har du mycket goda förutsättningar att hålla din säkerhetsklassificerade information väl skyddad.

martin_jinnestrand_2022_400x400

Författare

Om du har några frågor eller vill komma i kontakt med oss kan du höra av dig till Martin Jinnerstand som är konsultgruppchef och expert inom it-säkerhet. Klicka på knappen nedan för att komma till kontaktformuläret.

cybet_dator

5 tips för att skydda dina system mot ett angrepp

Ladda ner vår guide

Försvåra för en angripare att lyckas med sin attack. Ladda ner vår kostnadsfria guide med 5 konkreta tips på hur du skyddar verksamheten mot angrepp.