Security testing – alt du trenger å vite om sikkerhetstesting
31 august 2023 / Artikkel
31 august 2023 / Artikkel
Sikkerhetstesting er tester som utføres for å undersøke sikkerheten i alt fra systemer, nettverk, kode og applikasjoner til skymiljøer og fysiske anlegg. En av de vanligste formene for sikkerhetstest er penetrasjonstest – en slags digital innbruddstest der du leier inn sikkerhetseksperter og ber dem prøve å bryte seg inn hos deg for å oppdage sårbarheter og mulige angrepsflater. Etter testen får du en rapport som forteller hvilke sårbarheter som er oppdaget, hvorfor de utgjør en risiko, og hvilke tiltak som bør iverksettes.
Sikkerhetstesting kan hjelpe deg med å få oversikt over hvilke sårbarheter som finnes i organisasjonen, og hvilke risikoer du er eksponert for. I en sikkerhetstest går man systematisk gjennom systemene for å identifisere svakheter og mulige veier inn. På den måten kan man avdekke både svakheter som kan utgjøre en stor risiko her og nå, og områder du på sikt bør arbeide målrettet med for å redusere angrepsflaten mest mulig effektivt.
Let the good guys hack you before the bad ones do
Når Iver sine sikkerheteksperter utfører en sikkerhetstest, ser de på miljøet ditt fra samme perspektiv som en angriper. Vi bruker også samme verktøy og teknikker som ved ekte cyberangrep. Det betyr at du får vite hvor godt rustet systemene og applikasjonene dine er til å stå imot reelle angrep. Tanken er ganske enkelt å let the good guys hack you before the bad ones do.
Før man kan sette i gang med sikkerhetstesting, må man bli enige om Rules of Engagement. Det vil si de forholdsreglene og instruksene som testerne får, og som definerer omstendigheter, vilkår og metoder som skal brukes under testen. Vi blir også enige om hva som skal testes, hvor lenge testingen skal pågå, og når den skal avsluttes.
Har testerne for eksempel lov til å bruke alle de midlene som en ekte trusselaktør kan tenkes å ty til, inkludert sosial manipulering av ansatte? Dette er det viktig å bestemme før testen starter – både for å sikre at vi tester det man faktisk vil ha svar på, og for å sikre at testen ikke virker negativt inn på tilliten internt.
Selve sikkerhetstesten gjennomføres deretter systematisk basert på en risikomatrise. Sikkerhetsekspertene tar utgangspunkt i en risikomatrise som angir hvor stor sannsynlighet det er for at noe skjer, og hvor alvorlige konsekvenser det eventuelt ville få. Vi begynner med de sårbarhetene som har stor sannsynlighet og store konsekvenser, og jobber oss deretter systematisk videre ut fra alvorlighetsgrad.
De sårbarhetene som blir oppdaget under testen, oppsummeres i en rapport. Rapporten består av en redegjørelse for de angrepsflatene som finnes, en forklaring på hvorfor disse utgjør en risiko, samt rådgivning om hvilke tiltak som kreves.
Sikkerhetstesting er en tidsbegrenset leveranse der rapporten er resultatet. Rapporten inneholder flere nyttige deler:
Executive Summary
Rapporten begynner med en ikke-teknisk oppsummering av testingen, et såkalt «Executive Summary», som er beregnet på ledelsen og andre beslutningstakere. Denne delen går gjennom målet med sikkerhetstestingen, gir en oversikt over de viktigste og vanligste funnene som er gjort, og peker på hvilke forsvarsmekanismer som fungerte godt.
Hensikten med oppsummeringen er å gi beslutningstakere nok informasjon til å ta velbegrunnede valg, uten å gå inn på de tekniske detaljene, slik at han eller hun kan sette av tid og ressurser der behovet er størst.
Vulnerability Highlights
Så følger en mer teknisk oppsummering av sårbarhetene, sortert etter alvorlighetsgrad: «Vulnerability Highlights». Denne delen er beregnet på de lederne som har ansvaret for å følge opp oppdraget. Den gir en kort beskrivelse av de viktigste funnene og oppsummerer generelle tekniske problemer. Hensikten med oppsummeringen er å gi en mer detaljert innføring i de funnene som er gjort. Men den må likevel være kort og konsis, slik at lederne raskt kan kommunisere med teamene sine og prioritere oppgavene riktig.
Teknisk gjennomgang
Til slutt kommer hoveddelen av rapporten, den tekniske gjennomgangen av alle funn. Her behandles hvert funn grundig – hva det er, hvor det er, hvorfor det er et problem, og hvordan du kan løse problemet. Dessuten får du instruksjoner for hvordan du gjenskaper problemet, slik at du har all informasjon du trenger for å tette det hullet som er identifisert. Der det er relevant, får du både kortsiktige og langsiktige råd om tiltak. Dermed kan du iverksette raske og effektive tiltak for å sikre mest mulig på kortest mulig tid, samtidig som du kan utarbeide en strategi for hvordan man på lang sikt kan forbedre sikkerheten på en helhetlig måte.
Denne delen er beregnet på de tekniske medarbeiderne som har ansvaret for å følge opp resultatene og rette opp i svakhetene. Den bør gi leseren all teknisk informasjon som trengs for å løse problemet. Ved behov vil det bli lagt inn referanser til videre lesing, slik at leseren raskest mulig kan forstå både svakhetene og løsningene samt komme i gang med å implementere løsningene.
Sikkerhetstesting kan brukes som et verktøy i flere scenarioer:
Ved å skaffe deg oversikt over hvilke risikoer som er forbundet med dine systemer og tjenester, og hvordan de utgjør en trussel mot deg og virksomheten din – samt redusere sårbarhetene – kan du ligge steget foran angriperne og gjøre angrepsflaten minst mulig.
Vil du vite mer om hvordan Iver kan hjelpe deg med dette? Kontakt oss via skjemaet nedenfor.