Security testing – alt du trenger å vite om sikkerhetstesting

31 august 2023 / Artikkel

Dagens trussel-landskap er sammensatt og utvikler seg i et enormt tempo. Cyberkriminelle og avanserte trusselaktører leter hele tiden etter nye måter de kan skade deg og ressursene dine på. Dessuten blir tjenester, applikasjoner, nettverk og systemer stadig mer komplekse, og det er vanskelig å sikre alle mulige angrepsvinkler. Så hvordan får man oversikt over hvilke risikoer og sårbarheter som finnes i organisasjonen? Én mulighet er å utføre sikkerhetstesting ved at en tester prøver å angripe miljøet for dermed å oppdage sårbarheter. I denne artikkelen gir vi deg all informasjon du trenger om sikkerhetstesting!

Hva er sikkerhetstesting?

Sikkerhetstesting er tester som utføres for å undersøke sikkerheten i alt fra systemer, nettverk, kode og applikasjoner til skymiljøer og fysiske anlegg. En av de vanligste formene for sikkerhetstest er penetrasjonstest – en slags digital innbruddstest der du leier inn sikkerhetseksperter og ber dem prøve å bryte seg inn hos deg for å oppdage sårbarheter og mulige angrepsflater. Etter testen får du en rapport som forteller hvilke sårbarheter som er oppdaget, hvorfor de utgjør en risiko, og hvilke tiltak som bør iverksettes.

 

Hvorfor bør man utføre sikkerhetstesting?

Sikkerhetstesting kan hjelpe deg med å få oversikt over hvilke sårbarheter som finnes i organisasjonen, og hvilke risikoer du er eksponert for. I en sikkerhetstest går man systematisk gjennom systemene for å identifisere svakheter og mulige veier inn. På den måten kan man avdekke både svakheter som kan utgjøre en stor risiko her og nå, og områder du på sikt bør arbeide målrettet med for å redusere angrepsflaten mest mulig effektivt.

Let the good guys hack you before the bad ones do

Når Iver sine sikkerheteksperter utfører en sikkerhetstest, ser de på miljøet ditt fra samme perspektiv som en angriper. Vi bruker også samme verktøy og teknikker som ved ekte cyberangrep. Det betyr at du får vite hvor godt rustet systemene og applikasjonene dine er til å stå imot reelle angrep. Tanken er ganske enkelt å let the good guys hack you before the bad ones do.

 

Hvordan foregår sikkerhetstesting i praksis?

Før man kan sette i gang med sikkerhetstesting, må man bli enige om Rules of Engagement. Det vil si de forholdsreglene og instruksene som testerne får, og som definerer omstendigheter, vilkår og metoder som skal brukes under testen. Vi blir også enige om hva som skal testes, hvor lenge testingen skal pågå, og når den skal avsluttes.

Har testerne for eksempel lov til å bruke alle de midlene som en ekte trusselaktør kan tenkes å ty til, inkludert sosial manipulering av ansatte? Dette er det viktig å bestemme før testen starter – både for å sikre at vi tester det man faktisk vil ha svar på, og for å sikre at testen ikke virker negativt inn på tilliten internt.

Selve sikkerhetstesten gjennomføres deretter systematisk basert på en risikomatrise. Sikkerhetsekspertene tar utgangspunkt i en risikomatrise som angir hvor stor sannsynlighet det er for at noe skjer, og hvor alvorlige konsekvenser det eventuelt ville få. Vi begynner med de sårbarhetene som har stor sannsynlighet og store konsekvenser, og jobber oss deretter systematisk videre ut fra alvorlighetsgrad.

De sårbarhetene som blir oppdaget under testen, oppsummeres i en rapport. Rapporten består av en redegjørelse for de angrepsflatene som finnes, en forklaring på hvorfor disse utgjør en risiko, samt rådgivning om hvilke tiltak som kreves.

 

Hva inneholder en sikkerhetsrapport?

Sikkerhetstesting er en tidsbegrenset leveranse der rapporten er resultatet. Rapporten inneholder flere nyttige deler:

Executive Summary

Rapporten begynner med en ikke-teknisk oppsummering av testingen, et såkalt «Executive Summary», som er beregnet på ledelsen og andre beslutningstakere. Denne delen går gjennom målet med sikkerhetstestingen, gir en oversikt over de viktigste og vanligste funnene som er gjort, og peker på hvilke forsvarsmekanismer som fungerte godt.

Hensikten med oppsummeringen er å gi beslutningstakere nok informasjon til å ta velbegrunnede valg, uten å gå inn på de tekniske detaljene, slik at han eller hun kan sette av tid og ressurser der behovet er størst.

Vulnerability Highlights

Så følger en mer teknisk oppsummering av sårbarhetene, sortert etter alvorlighetsgrad: «Vulnerability Highlights». Denne delen er beregnet på de lederne som har ansvaret for å følge opp oppdraget. Den gir en kort beskrivelse av de viktigste funnene og oppsummerer generelle tekniske problemer. Hensikten med oppsummeringen er å gi en mer detaljert innføring i de funnene som er gjort. Men den må likevel være kort og konsis, slik at lederne raskt kan kommunisere med teamene sine og prioritere oppgavene riktig.

Teknisk gjennomgang

Til slutt kommer hoveddelen av rapporten, den tekniske gjennomgangen av alle funn. Her behandles hvert funn grundig – hva det er, hvor det er, hvorfor det er et problem, og hvordan du kan løse problemet. Dessuten får du instruksjoner for hvordan du gjenskaper problemet, slik at du har all informasjon du trenger for å tette det hullet som er identifisert. Der det er relevant, får du både kortsiktige og langsiktige råd om tiltak. Dermed kan du iverksette raske og effektive tiltak for å sikre mest mulig på kortest mulig tid, samtidig som du kan utarbeide en strategi for hvordan man på lang sikt kan forbedre sikkerheten på en helhetlig måte.

Denne delen er beregnet på de tekniske medarbeiderne som har ansvaret for å følge opp resultatene og rette opp i svakhetene. Den bør gi leseren all teknisk informasjon som trengs for å løse problemet. Ved behov vil det bli lagt inn referanser til videre lesing, slik at leseren raskest mulig kan forstå både svakhetene og løsningene samt komme i gang med å implementere løsningene.

Når bør man utføre sikkerhetstesting?

Sikkerhetstesting kan brukes som et verktøy i flere scenarioer:

  • For å kartlegge risikoer og svakheter knyttet til det digitale miljøet (før angriperne finner dem).
  • For å bekrefte at de sikkerhetskontrollene du har implementert i miljøet, faktisk gjør den jobben de er utformet for – og gir den effekten du ønsker.
  • For å kartlegge hvor i miljøet eller applikasjonen du bør styrke sikkerhetsinnsatsen.
  • For å finne ut hvordan en angriper kan bevege seg etter å ha fått fotfeste i miljøet, og undersøke hvor du bør implementere flere sikkerhetskontroller og/eller segmentering og andre tiltak.
  • For å oppdage sårbarheter allerede under utviklingsarbeidet. Hvis du har en programvare, en nettbutikk eller et lignende miljø som er i kontinuerlig utvikling, kan du ved hjelp av gjentatt sikkerhetstesting oppdage sårbarheter i nye funksjoner raskere. Dermed slipper du å bruke tid på å reparere eventuelle skader senere.

 

Ved å skaffe deg oversikt over hvilke risikoer som er forbundet med dine systemer og tjenester, og hvordan de utgjør en trussel mot deg og virksomheten din – samt redusere sårbarhetene – kan du ligge steget foran angriperne og gjøre angrepsflaten minst mulig.

Vil du vite mer om hvordan Iver kan hjelpe deg med dette? Kontakt oss via skjemaet nedenfor.

Koder: Cyber Security Accelerate at Iver
Image Alt Text

Let’s bring yellow to your business!

Uansett hva digital transformasjon betyr for deg, hjelper vi deg med å finne din beste vei til skyen. 

Ta kontakt, så starter vi din nye digitale reise i dag.