Varför skall man penetrationstesta?

Skulle du köpa ett hus eller bostadsrätt utan att först ha besiktat den? Inte jag i alla fall, man måste ha en koll på hur det ligger till innan man slår till.

Samma sak gäller applikationer och infrastruktur. Man driftsätter inte något utan att det är testat och penetrationstestning är en del i det arbetet. En penetrationstest ger dig en uppfattning hur nu-läget ser ut, och vilka sårbarheter man relativt lätt kan hitta i systemet. Likt en besiktningsman kan man inte hitta allt (utan att ta isär huset i dess beståndsdelar), men med en riktad insats och med erfarenhet om var brister brukar uppträda kan man komma långt.
 


Vilka slags sårbarheter bör en penetrationstestare hitta under sitt uppdrag? Givet tillräckligt med tid och resurser så bör man kunna hitta merparten av kända typer av brister (åtmindstånde de som finns på OWASP Top 10 listan). Med mer tid kan man börja jaga de brister som ännu är okända.

OWASP, Open Web Application Security Project, är en ideell organisation som sysslar med applikationssäkerhet. De är leverantörsoberoende och arbetar för att förebygga säkerhetsmissar i applikationer genom att publicera guider och ramverk för både utvecklare och testare.

Omegapoints konsulter nöjer sig inte med att testa enligt OWASP Top 10, utan vi testar enligt hela OWASP Testing Guide som har 66 olika tester som täcker med alla kända typer av sårbarheter. OWASP Top 10 är en delmängd utav dessa. Dessutom arbetar vi aktivt med att leta efter nya, ännu okända, brister i system och applikationer. Vi nöjer oss inte med att köra någon slags sårbarhetsskanner och säga att det är säkert, utan vi tar oss in på djupet. Och om det är så att det inte finns några färdiga verktyg som kan testa en viss typ av system så utvecklar vi dom på plats.

Omegapoint har valt OWASP Testing Guide för att det är ett väl etablerat ramverk och inte några hemmasnickrade och affärshemliga ”metoder” som man inte har någon insyn i. Vi klassificerar de säkerhetshål vi upptäcker enligt CVSS (Common Vulnerability Scoring System), en annan etablerad standard som används av bland annat amerikanska DHS (Department of Homeland Security), CERT (Computer Emergency Response Team), Cisco, Union Pacific och Symantec. I och med detta har ni som kund ett lätt sätt att lättare prioritera de sårbarheter som är mest allvarliga och åtgärda dessa först, vilket sparar tid och pengar.

Omegapoint arbetar med kontinuerlig kompetensutveckling; Det finns många illasinnade hackers som är duktiga och finansiellt motiverade. Säkerhetstestarna måste matcha den professionella organiserade brottsligheten för att vara aktuella.

Ulf är Teknologie Doktor inom datasäkerhet.

Michael är en praktiker och internationellt erkänd säkerhetsexpert.

0 kommentarer :: Varför skall man penetrationstesta?

Skicka en kommentar