Alla organisationer bör med jämna mellanrum genomföra it-säkerhetskontroller, och ett av de vanligaste förekommande kontrollerna är penetrationstest. Jag rekommenderar att både använda automatiserade kontroller men även att anlita experter för att genomföra manuella penetrationstester.
Utvecklingen när det gäller automatiska tester är bra i dagsläget men är enbart ett komplement till manuella tester. Och framförallt kan automatiska tester identifiera potentiella sårbarheter snabbare. Utnyttja detta faktum och se till att fånga upp nya identifierade brister snabbare och åtgärda dessa.
Kontrollera vem eller vilka konsulter som kommer att genomföra testet. Är det juniora eller seniora tekniker som har många års erfarenhet av penetrationstester på sin konsultprofil?
Läs också: Så skyddar du företagets data och undviker risken för informationsläckage
Även när nya system ska driftsättas eller större förändringar genomförs bör dessa kontrolleras genom penetrationstester. Och ju bättre du som beställare är att förklara vad du vill ha testat desto bättre blir den rapportering som ni erhåller från de eller den som genomför penetrationstestet.
Är det ett större nytt system eller nätverk som ska driftsättas kan ett mindre initialt test genomföras för att sedan följas upp med ett större test. Ju mer information och dokumentation som granskarna får innan testet, desto bättre kommer resultatet att bli. Planera även i projektet för tid att åtgärda eventuella åtgärdsförslag som uppkommer.
Olika typer av penetrationstester:
• White Box – Ni tillhandahåller dokumentation till granskarna innan testet. Källkod, konfigurationsfiler et cetera ingår också. Kostnadseffektivt.
• Black Box – Ingen information eller dokumentation delges innan. Granskarna får använda information från öppna källor (OSINT) eller på annat sätt lista ut detaljer.
• Ska granskning av källkod ingå?
• Hur mycket av systemen ska granskningen omfatta? Konfigurationsfiler? Brandväggsregler?
• Avgränsningar såsom nätverk eller system. Klienter, servrar, switchar et cetera.
• Ska tester göras mot testsystem eller skarpt system? Jag rekommenderar alltid mot skarpa system.
• Används manuella och automatiska verktyg?
Läs också: Förinstallerad mjukvara är inte bara irriterande – den är en allvarlig säkerhetsrisk
Rapporteringen är viktig och planera även för en muntlig genomgång av rapporten några dagar efter det att ni erhållit denna i skriftlig form. Och är det något specifikt som bör återfinnas i rapporten ska detta påtalas så tidigt i projektet som möjligt, såsom prioriteringsordning, verktyg som används och exekutiv sammanfattning.
Sist men inte minst bör ni kontrollera hur företaget som genomför testet hanterar informationen som lagras under testet. Givetvis bör säker överskrivning eller liknande genomföras av informationen efter testet är avslutat och rapporteringen är godkänd.
Befattning: Senior IT Security Specialist
Företag: Triop
Linkedin: Jonas Lejon
Twitter: @jonasl
E-post: jonas.expertnetwork@triop.se
Hemsida: www.triop.se, www.kryptera.se
Expertområden: Cybersäkerhet, krypto, granskningar, skadlig kod, cyberkrig, it-angrepp, exfiltrationsattacker, robust it-infrastruktur.
Bakgrund: Har jobbat mer än 10 år på FRA och Försvarsmakten. Driver Sveriges största blogg inom IT-säkerhet och kryptering på kryptera.se.
