Penetrationstest, en quick fix eller ett systematiskt säkerhetsarbete?

Nyhet , Systematiskt säkerhetsarbete , Verksamhetsskydd
tisdag 31 maj 2022

Vi lever i en orolig tid, där säkerhetsklassificerad information behöver skyddas. Såväl inom din egen verksamhet som samhället i stort. Men oavsett hur du arbetar med informationssäkerhet måste du genomföra regelbundna kontroller för att säkerställa att skyddet fungerar som det är tänkt.

Tyvärr genomför många organisationer en it-säkerhetsgranskning först när de har upptäckt att de har blivit drabbade, vilket är förståeligt men alldeles för sent. I genomsnitt tar det ungefär 200 dagar från att någon har gjort ett intrång, tills intrånget upptäcks och därför behöver du tillämpa ett systematiskt säkerhetsarbete för att skydda din information.

Klassificera dina informationstillgångar

Vår rekommendation är att börja med en analys av it- och informationssäkerhetsplanerna för att se vad verksamheten har tänkt att skydda. Hur viktiga dina informationstillgångar är och hur de ska skyddas ska framgå av matrisen nedan.

Gör återkommande it-säkerhetsgranskningar!

För att kunna hålla en hög nivå av säkerhet krävs att it-säkerhetsrevisioner och penetrationstester genomförs regelbundet. Nya sårbarheter upptäcks dagligen och ett it-system förändras över tiden, vilket gör återkommande granskningar till ett krav. Basalt rekommenderar att minst en it-säkerhetsrevision genomförs varje år på de platser som förvaltningsobjektet finns installerat.

Basalts trestegs-modell

1. It-säkerhetsarkitektur
Baserat på kraven och konsekvenserna från ovan nämnda matris så genomförs en utredning av it-säkerhetsarkitekturen. Är den optimal, eller finns det förbättringsmöjligheter?

2. Sårbarhetsscanning
Nästa steg är sårbarhetsscanning av det system som skall testas. Då genomförs en analys av aktuella sårbarheter från exponerade system.

3. Penetrationstest
Inför nästa steg i processen så behöver du besluta hur du vill utnyttja de eventuella sårbarheterna och vilka delar av de olika systemen du vill testa, exempelvis:

Interna system
- Kontroll av nätverkskomponenter
- Granskning av tillgänglighet i olika segmenterade delar
- Genomgång av behörigheter för olika nivåer

Externa system
- Sårbarheter i de it-infrastrukturprodukter som används i förvaltningsobjektet
- Leta/knäcka svaga lösenord
- Genomgång av behörigheter för olika nivåer

Applikationer
- Säkerhet i applikationer och webbapplikationer

Fjärråtkomst
- Vi testar säkerheten på de specifika metoderna för fjärranslutning exempelvis Citrix och olika typer av VPN

Wifi
- Räckviddstester för skalskyddet, kontroll av konfigurationer och robusthet mot störningar
- Identifiering av brister

Olika typer av penetrationstest

Black box-test
Denna metod innebär att våra penetrationstestare inte har fått någon förkunskap om förvaltningsobjektet, utan ska försöka hitta detta själva genom rekognosering. Denna typ av penetrationstest visar statusen på it-skyddet på det mest realistiska sättet, det vill säga som en antagonist ser det. Generellt hittas färre sårbarheter att utnyttja än vid Gray-box tester. Black box-tester genomförs inte för att stoppa ATP-grupper (Advanced Persistant Threat) som har mycket tid och resurser, utan används för att lokalisera nyupptäckta sårbarheter. Denna typ av penetrationstest passar små- och medelstora företag.

Gray box-test
Denna metod innebär att våra penetrationstestare har viss förkunskap om förvaltningsobjektet, it-arkitekturen eller ett användarnamn (med låga eller få rättigheter i systemet). I och med att en stor del av infrastrukturen är känd för testarna och kortare tid spenderas på informationsinhämtning blir denna typ av penetrationstest tidseffektiv där vi får mycket kunskap om olika brister på kort tid. Denna typ av penetrationstest passar för stora företag eller samhällsviktig verksamhet.

White box-test
Innebär att våra penetrationstestare har fått tillgång till all information om systemet så som arkitektur, produkter, konton och även källkod. Detta för att kunna utvärdera hur systemet är konfigurerat. Här går vi igenom arkitekturen och ser om vi kan hitta sårbarheter i infrastrukturen som går att utnyttja alternativt genomföra en källkodgranskning för att hitta brister i logiken. Denna typ av penetrationstest kan göras på många olika sätt med olika omfattning och passar alla verksamheter samt ger mycket gott resultat på kort tid.

Allt levererat i en fullödig rapport

Efter varje genomförd it-säkerhetsevaluering (där penetrationstest ofta ingår) får du resultat och rekommendationer för it-arkitekturen samlat i en utförligt rapport, som även fungerar som vidare beslutsunderlag.

Om du tänker proaktivt, systematiskt och långsiktigt har du mycket goda förutsättningar att hålla din säkerhetsklassificerade information väl skyddad.

Författare

Martin Jinnestrand
Senior Security Specialist

Om du har några frågor eller vill komma i kontakt med oss kan du höra av dig till Martin Jinnerstand som är konsultgruppchef och expert inom it-säkerhet. Klicka på knappen nedan för att komma till kontaktformuläret.

Kontakta oss

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning