Security testing – allt du behöver veta om säkerhetstestning

31 augusti 2023 / Artikel

Dagens hotlandskap är komplext och utvecklas i en enorm takt. Cyberbrottslingar och avancerade hotaktörer letar ständigt efter sätt att kompromettera dig och dina tillgångar. Dessutom blir tjänster, applikationer, nätverk och system alltmer komplexa och det är en utmanande uppgift att säkra alla möjliga attackvinklar. Så hur får man koll på vilka risker och sårbarheter som existerar i ens organisation? Ett sätt är att utföra säkerhetstestning där man låter en testare testa att angripa din miljö för att på så sätt upptäcka sårbarheter. I den här artikeln får du ta del av allt du behöver veta om säkerhetstestning!

Vad är säkerhetstestning?

Säkerhetstestning är tester som utförs i syfte att granska säkerheten i allt från system, nätverk, kod och applikationer till molnmiljöer och fysiska anläggningar. En av de vanligaste formerna av säkerhetstest är penetrationstest – ett slags digitalt inbrottstest där du hyr in säkerhetsexperter med uppdraget att försöka bryta sig in hos dig för att upptäcka sårbarheter och möjliga attackytor. Efter fullbordat test får du en rapport med de sårbarheter som uppdagats, varför de är en risk och rådgivning kring hur dessa bör åtgärdas.

 

Varför ska man utföra säkerhetstestning?

Säkerhetstestning kan hjälpa dig att få en överblick över vilka sårbarheter som finns i din organisation och vilka risker du är exponerad för. Genom att systematiskt se över dina system för svagheter och möjliga vägar in kommer ett säkerhetstest att kunna avslöja både svagheter som kan utgöra en stor risk för dig här och nu, samt områden som du långsiktigt bör arbeta dedikerat med för att minska din attackyta så effektivt som möjligt.

Let the good guys hack you before the bad ones do.

När våra säkerhetsexperter på Iver utför ett säkerhetstest tittar vi på din miljö ur samma perspektiv som en angripare, och använder samma verktyg och tekniker som används vid riktiga cyberangrepp. Det betyder att du får veta hur väl rustade dina system och applikationer är för att stå emot riktiga attacker. Tanken är helt enkelt att låta the good guys hack you before the bad ones do.

 

Hur går säkerhetstestning till i praktiken?

Innan säkerhetstestning kan påbörjas måste Rules of Engagement klargöras. Rules of Engagement är de förhållningsregler och direktiv som tilldelas testarna och som definierar omständigheter, villkor och metoder som får användas när testet utförs. Man beslutar också om vad som ska testas och under hur lång tid testet ska pågå – och när det ska vara avslutat.

Har vi tillåtelse att under testets gång använda alla medel som en riktig hotaktör kan tänkas ta till, inklusive social manipulation av anställda? Detta är viktigt att besluta om innan denna typ av test påbörjas både för att säkerställa att vi testar det som man faktiskt vill ha svar på, och för att säkerställa att testet inte har en negativ påverkan på förtroendet internt.

Själva säkerhetstestet sker sedan systematiskt utifrån en riskmatris som tar hänsyn till hur stor sannolikhet något har att inträffa samt hur allvarlig följden skulle bli om det inträffade. Naturligt börjar testarna med de sårbarheter med hög sannolikhet och high impact – och jobbar sig sedan systematiskt vidare utifrån allvarlighetsgrad.

De sårbarheter som uppdagas under testets gång samlas i en rapport. Rapporten är en redogörelse för de attackytor som existerar, förklaring till varför dessa är en risk samt rådgivning kring vad man behöver göra för att åtgärda dessa.

 

Vad innehåller en säkerhetsrapport?

Säkerhetstestning är en tidsbegränsad leverans där rapporten är resultatet. Rapporten innehåller flera användbara avsnitt;

Executive Summary

I början av rapporten finns en icke-teknisk sammanfattning av testningen, en så kallad "executive summary", som är avsedd för ledning och andra beslutsfattare. Detta avsnitt går igenom målet med säkerhetstestet, ger en översikt över de viktigaste och vanligaste fynden som gjorts och pekar på vilka försvarsmekanismer som fungerade bra.

Sammanfattningen syftar till att ge beslutsfattare tillräckligt med information för att göra välgrundade val, utan att gå in på de tekniska detaljerna, så att han eller hon kan allokera tid och resurser där det behövs som mest.

Vulnerability Highlights

Vidare finns en mer teknisk sammanfattning av sårbarheterna rangordnade efter allvarlighetsgrad, kallad "Vulnerability Highlights". Detta avsnitt är avsett för de chefer som ansvarar för att följa upp uppdraget. Detta ger en kort beskrivning av de viktigaste fynden och sammanfattar generella tekniska problem. Sammanfattningen syftar till att ge en mer detaljerad introduktion till de fynd som gjorts, men den ska ändå vara kort och koncis, så att chefer snabbt kan kommunicera med sina team och prioritera uppgifter i rätt ordning.

Teknisk genomgång

Slutligen kommer huvuddelen av rapporten, den tekniska genomgången av alla fynd. Här behandlas varje fynd grundligt – vad det är, var de finns, varför det är ett problem, samt råd om hur du kan åtgärda problemet. Dessutom finns instruktioner om hur du återskapar problemet så att du har all information du behöver för att täppa till det hål som har identifierats. Där det är relevant ges både kortsiktiga och långsiktiga råd kring åtgärder, så att du både kan vidta snabba och effektiva åtgärder för att säkra så mycket som möjligt på kortast möjliga tid, samtidigt som du kan lägga en strategi för hur man på lång sikt kan förbättra säkerheten holistiskt.

Det här avsnittet riktar sig till de tekniska resurser som ansvarar för att följa upp resultaten och åtgärda svagheterna, och bör ge läsaren all teknisk information som behövs för att lösa problemet. Där det finns behov kommer referenser att läggas till för vidare läsning så att läsaren kan förstå både svagheterna och lösningarna så snabbt som möjligt och komma igång med att implementera lösningarna.

 

När ska man utföra säkerhetstestning?

Säkerhetstestning kan användas som verktyg vid ett flertal scenarier:

  • För att ta reda på risker och svagheter relaterade till din digitala miljö (innan angripare hittar dem)

  • För att verifiera att de säkerhetskontroller du har implementerat i din miljö faktiskt gör det jobb de utformades för – och ger den effekt du önskar.

  • För att kartlägga var i din miljö eller applikation du behöver fokusera ytterligare säkerhetsinsatser.

  • För att identifiera hur en angripare som lyckas få fotfäste i din miljö kan röra sig, och utreda var du behöver implementera ytterligare säkerhetskontroller och/eller segmentering och andra åtgärder.

  • För att upptäcka sårbarheter redan under utvecklingsarbetet. Om du har en programvara, webbshop eller liknande miljö som ständigt utvecklas – kan du med hjälp av återkommande säkerhetstestning upptäcka sårbarheter i nya funktioner fortare och slippa lägga tid senare på att reparera skador som uppkommer.

 

Genom att skapa en överblick över vilka risker som är förknippade med dina system och tjänster, hur de utgör ett hot mot dig och din verksamhet, samt åtgärda sårbarheter kan du ligga steget före cyberangripare och göra din attackyta så liten som möjligt.

Vill du veta mer om hur Iver kan hjälpa dig med detta? Kontakta oss via formuläret nedan.

 

 

Image Alt Text

Let’s bring yellow to your business!

Oavsett vad digital transformation innebär för just din verksamhet hjälper vi dig att hitta din bästa väg till molnet.

Hör av dig så startar vi din nya digitala resa idag.