Knowit Secure

Vi gjør IT sikrere!

Penetrasjonstesting: Hva er det godt for?

PenTestPenetrasjonstesting brukes til å sjekke om et system, nettverk og/eller applikasjoner har svakheter en angriper kan utnytte til å få tilgang til sensitiv informasjon, å gjøre det mulig endre informasjon som er lagret eller å gjøre noe helt eller delvis utilgjengelig.


Det er mange grunner til at noen vil gjennomføre en penetrasjonstest:

  • Vanligvis er målet å få informasjon om hvilke sårbarheter som finnes i et system.
  • Det er mulig det gjøres for å sjekke om virksomhetens sikkerhetsinstruks, sikkerhetspolicy, eller standarder følges.
  • Å vurdere hvordan ansatte faktisk reagerer ved et (simulert) angrep er en tredje mulighet.
  • Å finne ut om virksomheten i er i stand til å oppdage og iverksette tiltak for å stoppe angrep og få systemer og prosesser til å fungere som normalt.

Jeg synes det er viktig at du er klar over at selv om  gjennomfører en penetrasjonstest og iverksetter tiltak for å ta bort sårbarheter som er funnet har du fortsatt ikke et 100% sikkert system. Nye sårbarheter oppdages hver dag og stadig mer avanserte angrepsformer gjør at du må være klar over hvordan du må håndtere sikkerhetshendelser. Av denne grunn foreslår at du gjennomfører penetrasjonstester tester med jevne mellomrom samtidig som dere passer på at dere vet hvordan dere skal håndtere ulike typer av angrep.

Det er mange måter å gjennomføre en penetrasjonstest, og en måte å kategorisere dem på er å se på målet som en «white box», «black box» eller noe der imellom.

  • «White box» testing betyr at testerne får mye informasjon om systemet som skal testes på forhånd. Dermed vet de stort sett hva som skal testes og kan gå rett på sak og slipper å bruke tid og krefter på å finne ut dette på egenhånd.
  • «Black box» testing vil si at så lite informasjon som mulig gis til testerne på forhånd og de må selv finne ut det de trenger av informasjon for å lykkes med testen.

Testere bruker ofte ulike testmetoder, også social engineering, til å skaffe informasjon som gjør det mulig for dem å finne og utnytte sårbarheter.

En annen måte å se på penetrasjonstester er ved å se hvor angrepet starter:

  • Eksternt: Skal testen simulere et angrep fra eksterne angripere? I det tilfelle burde testerne prøve å komme seg inn på virksomhetens systemer fra en hvilken som helst internet tilkobling.
  • Internt: Skal testen finne ut hva som er mulig å gjøre dersom angriperen allerede har kommet seg inn på virksomhetens nettverk? Kanskje angriperen er en utro tjener? I dette scenariet starter vi ofte testen med å være koblet opp til virksomhetens interne nettverk og ser hva vi kan få til derfa.
  • Andre: Det er også mulig å starte testen andre steder, som at testerne kobles opp mot virksomhetens DMZ og prøver å komme seg videre derfra.

Andre tester

Som sagt, i en penetrasjonstest prøver vi å finne så mange sårbarheter som mulig. Alle muligheter kan utforskes… I en sikkerhetstest fokuserer vi som regel på sikkerheten i ett eller noen få systemer med tette bånd. Sosial manipulasjon, eller Social Engineering, er en metode vi kan bruke i sammen med penetrasjonstester eller en test vi kan gjennomføre for seg selv for å se hvordan din organisasjon reagerer når noen prøver å omgå sikkerhetstiltakene deres med menneskelig interaksjon.

Uansett hva slags test som skal gjøres er det mange, mange, muligheter. Vil du vite mer, eller har du behov for å gjennomføre en test, er det bare å ta kontakt!


Bjørn-Are (med god hjelp fra andre i Knowit Secure),
Seniorkonsulent hos Knowit Secure; Et firma med spisskompetanse på IT- og informasjonssikkerhet, der de ansatte er Norges dyktigste på sine felt innen sikkerhetstesting og sikkerhetsrådgivning.

Om BA Karolius

Seniorkonsulent innen informasjonssikkerhet hos Knowit Secure AS.

3 kommentarer på “Penetrasjonstesting: Hva er det godt for?

  1. Tilbaketråkk: Sikkerhetstesting av applikasjoner | Knowit Secure

  2. Tilbaketråkk: Social Engineering – Hacking av mennesker | Knowit Secure

  3. Tilbaketråkk: Nyttårsforsett | Knowit Secure

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

w

Kobler til %s

Siste blogg innlegg

Følg oss på twitter

Skriv inn e-post adresse for å følge denne bloggen og få beskjed på mail når det er nye blogg innlegg.

%d bloggere like this: