Nurförtiden finns hoten överallt och allt från hackers till organiserade brottslingar försöker kontinuerligt angripa företag och deras tillgångar. Ett pentest (kort för penetrationstest) är en specialiserad typ av cybersäkerhetstjänst som strävar efter att hitta sårbarheter i olika typer av applikationer och system. Detta så att man hinner åtgärda sårbarheterna innna de utnyttjas av angripare. Den här artikeln kommer vara en guide för att förklara dessa tester och för att ge förståelse för när det kan vara dags att använda dem för att skydda ert bolags resurser.
Vad är ett pentest?
En säkerhetsgranskning benämns ofta som ett pentest eller penetrationstest, och är en process där personer med djup kunskap inom cybersäkerhet gör en bedömning av er säkerhet genom att simulera ett angrepp på utvalda system. Personerna kallas ofta etiska hackare eller pentestare och använder sig av samma metoder och verktyg som en riktig angripare, med syfte att hitta och rapportera säkerhetsbrister. Pentest av externa och även interna tjänster är idag vanligt då många ramverk (som PCI-DSS, ISO 27001), interna policies och kunder ställer krav på eller rekommenderar att genomföra dessa.
Men det handlar inte bara om att hitta sårbarheter, utan även att stärka skyddet mot en hotbild som bara ökar i takt med digitaliseringen av samhället.
När bör ett pentest göras?
Att genomföra säkerhetsgranskningar av affärskritiska system bör vara en del av varje företags säkerhetsrutin. Detta då det kan räcka med ett säkerhetshål i något system för att det allvarligt ska påverka den dagliga verksamheten eller företagets rykte negativt.
Förutom att på en återkommande basis göra granskningar, finns det även några tillfällen då det kan vara bra att genomföra ytterligare tester av säkerhetent:
- Om man är leverantör av en mjukvara eller tjänst och har introducerat ny komplex funktionalitet.
- Vid upphandlingar eller integrationer av tredjepartssystem.
- När större systemförändringar genomförs.
Generella rekommendationer
Vi har även valt att sammanfatta några generella rekommendationer till dig som skall beställa ett test:
- Tänk på att inte genomföra tester för sent i ett utvecklings- eller integrationsprojekt. Ofta planeras säkerhetsgranskningar in som ett av de sista delarna innan produktionssättning, utan att reflektera över att dessa tester kan lägga till ytterligare utvecklingsinsatser.
- Under scoping-fasen är det bra att få en bild av vilka testerare det är som kommer utföra testet, eftersom det inte alltid är samma person som är med och scopar, vilket kan leda till att förväntningarna på pentestet inte matchar resultatet.
- Vi rekommenderar även att det är minst två testare som samtidigt genomför pentestet då leveransen ofta blir bättre när testarna drar nytta av varandras erfarenheter.
Att välja leverantör av penetrationstest
Valet av leverantör för att genomföra kan vara svårt om man inte tidigare varit med om processen, och det finns ett antal fallgropar man kan råka ut för. Leverantörerna har alla olika bakgrund, erfarenhet och metodik och det kan därför vara svårt att veta vad som passar just din verksamhet. Vi kommer därför ta upp några punkter som kan var värda att tänka extra på innan ni genomför valet av cybersäkerhetsleverantör.
Identifierade sårbarheter
Målet med ett pentest är oftast att identifiera så många sårbarheter som möjligt, och framförallt olika typer av sårbarheter. Här kan det variera kraftigt mellan leverantörer som mestadels förlitar sig på automatiserade verktyg och de som förlitar sig på manuell testning. Här är det absolut en fördel att använda sig av manuella tester då de med största sannolikhet hittar de brister som automatiska verktyg inte hittar. Manuell testning kan även uppfatta samband och använda bristerna i en attack-kedja samt möjligheten att hitta brister i affärslogik som automatiserade tester inte kan. Tänk även på att de leverantörer som utför manuella granskningar även använder sig av automatiserade verktyg, vilket gör att du som kund får ut mer av dessa.
Men även manuella tester kan skilja sig inom och mellan olika leverantörer, då kvalitén är beroende av testarens erfarenhet. För att maximera erfarenheten är det därför oftast bäst att anlita en leverantör som har säkerhet som sitt huvudområde, och inte generell konsultverksamhet, då konsulterna ifråga ofta är delaktiga i andra leveranser och inte har samma fokus på pentestning. Utöver det är det även bra att tillse att pentestarna har tillräcklig erfarenhet, då förmågan att identifiera brister ökar markant med antalet genomförda uppdrag.
Även certifieringar inom den typ av system som skall testas (exempelvis OSWE för webb och OSEP för interna nätverk) kan vara en stark indikator på att pentestaren kunnat visa sin förmåga att identifiera mer avancerade sårbarheter.
Rätt allvarlighetsbedömning
Att klassificera allvarlighetsgraden för en sårbarhet är inte alltid enkelt, men väldigt viktigt för en mottagare för att kunna göra rätt prioriteringar i arbetet med att säkra upp applikationen/systemet. Det är vanligt att en pentestare med mindre erfarenhet inom området gör en felaktig bedömning av allvarligheten, och därigenom orsakar extra arbete eller att brister som bör prioriteras inte får rätt fokus.
Det finns även lägen då så kallade “false positives”, alltså brister som egentligen inte är ett säkerhetsproblem rapporteras. Även här är det viktigt att anlita en erfaren säkerhetsleverantör som tar ett helhetsperspektiv i sin allvarlighetsbedömning så att ni kan göra rätt prioriteringar och därigenom höja säkerhetsnivån.
Tydlig rapportering
Värdet av en webbapplikationsgranskning förhöjs genom klar och tydlig kommunikation som ger mottagaren insikt och förståelse för den nuvarande säkerhetsnivån. Det är därför viktigt att en säkerhetsleverantör tydligt kan förklara sårbarheter, vilka risker de kan medföra i just er miljö samt tydligt beskriva hur de kan åtgärdas, både till tekniska men även icke-teckniska mottagare. Här rekommenderar vi att ni efterfrågar en exempelrapport från leverantören för att se om de möter de förväntningar ni ställer.
Sammanfattning
Ett pentest är en ovärdelig tillgång i aktiv säkerhetsprocess, där sårbarheter upptäcks och åtgärdas tidigt. Genom att kontinuerligt granska sina applikationer/system/milöjer arbetar ett företag proaktivt och får en bättre motståndskraft mot angrepp. När ni är i processen att säkra era system genom att utföra ett pentest, kom ihåg att det i slutändan är erfarenheten och noggrannheten hos testarna som oftast leder till en värdefull granskning. Vi uppmanar er även att utforska vårat tjänsteutbud för att se om vi kan vara med och hjälpa er att stärka erat skydd och er motsåndskraft.