IT-säkerhetsgranskning och Penetrationstest - När, Hur och Varför?

IT-säkerhetsgranskning och Penetrationstest - När, Hur och Varför?

Ser man på den senaste tidens händelser så går det att inse att det är viktigt för både den egna verksamheten och för samhället att säkerhetsklassificerad information skyddas. Det finns många olika sätt att lagra hantera och skydda information, såsom segmentering och behörighetshantering. Men oavsett hur man har beslutat att man vill arbeta med informationssäkerhet så måste kontroller utföras för att säkerställa att skyddet fungerar som det är tänkt.

En IT-säkerhetsgranskning är ett jobb som görs under en kortare period och skall vara en återkommande aktivitet. Beroende på vilken information som skyddas så blir granskningen mer eller mindre omfattande och mer eller mindre frekvent. Oavsett omfattning och periodicitet så är IT-säkerhet något som måste arbetas med varje dag och få fokus i ledningsgrupperna. Basalts undersökning Svenskt Säkerhetsindex visar på att hela 90% av beslutsfattarna i samhällsviktig verksamhet inser att de behöver förbättra förmågan att skydda sig mot cyberangrepp. 89% att de behöver utbilda personalen. Skrämmande nog så tycker och tror hela 29% att de kommer att behöva leva med att deras data kommer att bli komprometterad.

Vänta inte med att göra en säkerhetsgranskning tills ni upptäcker att ni har blivit drabbade, för i snitt tar det över 200 dagar från att någon gjort ett intrång, tills att det bli upptäckt.

Vår rekommendation, och så som vi arbetar, är att först analysera IT- och informationssäkerhetsplanerna för att se vad verksamheten har tänkt sig skydda. Hur viktigt det är att skydda informationen ska framgå av informationssäkerhetsklassificeringsmatrisen.

IT-säkerhetsgranskning och Penetrationstest - När, Hur och Varför?

IT-säkerhetsarkitektur

Baserat på kraven och konsekvenserna från ovan nämnda matris så genomförs en utredning av IT-säkerhetsarkitekturen. Är den optimal, eller finns det förbättringsmöjligheter?

Sårbarhetsscanning

Nästa steg är sårbarhetsscanning av det system som skall testas. Då genomförs en analys av aktuella sårbarheter från exponerade system.

Penetrationstest

Inför nästa steg i processen så behöver man besluta hur man vill försöka utnyttja de eventuella sårbarheterna och vilka delar av ett system man vill testa, exempelvis:

  • Interna
    • Kontroll av nätverkskomponenter
    • Granskning av tillgänglighet i olika segmenterade delar
    • Genomgång av behörigheter för olika nivåer
  • Externa
    • Sårbarheter i de IT-infrastrukturprodukter som används i Förvaltningsobjektet
    • Leta/knäcka svaga lösenord
    • Genomgång av behörigheter för olika nivåer
  • Applikation
    • Säkerhet i applikationer och webbapplikationer
  • Fjärråtkomst
    • Testar säkerheten på de specifika metoderna för fjärranslutning exempelvis Citrix och olika typer av VPN
  • Wi-Fi
    • Räckviddstester för skalskyddet, kontroll av konfigurationer och robusthet mot störningar
    • Identifiering av brister

IT-säkerhetsgranskning och Penetrationstest - När, Hur och Varför?

Det finns det 3 olika typer av penetrationstester som vi utför och de beskrivs kort nedan.

  • Black-box test innebär att våra penetrationstestare inte har fått någon förkunskap om förvaltningsobjektet, utan ska försöka hitta detta själva genom rekognosering. Denna typ av penetrationstest visar på statusen på IT-skyddet på det mest realistiska sättet, d.v.s. som en antagonist ser det. Generellt hittas färre sårbarheter att utnyttja under motsvarande tid som för Gray-box tester men denna typ av test är inte för att stoppa ATP-grupper (Advanced Persistant Threat) som har mer tid och resurser, utan typiskt för dem som försöker utnyttja nyupptäckta sårbarheter. Denna typ av penetrationstest passar små- och medelstora företag.
  • Gray-box test innebär att våra penetrationstestare har viss kunskap om förvaltningsobjektet, IT-arkitektur, någons användarnamn (med låga och få rättigheter i systemet). Denna typ av penetrationstest är det mest tidseffektiva och ger mycket kunskap om brister på kort tid. En typisk ATP aktör får över tid ändå tillgång till viss information om systemet via exempelvis OSINT och Spear Phishing riktad mot nyckelbefattningar hos aktören. När vi utför Gray-box penetrationstest är en stor del av infrastrukturen känd för testarna och kortare tid behöver spenderas på informationsinhämtning. Fokus ligger på att testa kundens mest kritiska system direkt, och kan på ett mer effektivt sätt synliggöra brister i dessa system. Denna typ av penetrationstest passar för stora företag eller samhällsviktig verksamhet.
  • White-box test innebär att våra penetrationstestare har fått tillgång till all information om systemet så som arkitektur, produkter, konton och även källkod, detta för att kunna utvärdera hur systemet är konfigurerat. Vi kan till exempel gå igenom arkitekturen och se om vi kan hitta sårbarheter i infrastrukturen som går att utnyttja eller genomföra källkodgranskning för att hitta brister i logik. Denna typ av penetrationstest kan göras på många olika sätt, och omfattning, till enkla översyner på arkitektur till källkodsgranskning och passar alla verksamheter ger mycket resultat på kort tid.

Rapport

Efter varje genomförd IT-säkerhetsrevision återkommer vi med resultat och rekommendationer för IT-arkitekturen. Detta beskrivs utförligt i en rapport som presenteras för kunden.

Återkommande IT-säkerhetsgranskningar

För att kunna hålla en hög nivå av säkerhet krävs det att IT-Säkerhetsrevisioner och Penetrationstester genomförs regelbundet. Nya sårbarheter upptäcks dagligen och ett IT-system förändras över tiden vilket gör återkommande granskningar till ett krav. För att hålla en hög säkerhetsnivå rekommenderar Basalt att minst en (1) IT-Säkerhetsrevision genomförs varje år på de platser som förvaltningsobjektet/en finns installerat.

martin_jinnestrand_2022_400x400

Skribent