När ditt företag växer och cyberhoten ökar är det avgörande att säkerställa att dina skyddsåtgärder verkligen håller måttet. Genom penetrationstest får du möjlighet att granska styrkan i ditt försvar och identifiera eventuella sårbarheter. Här lär du dig hur testerna fungerar, deras fördelar och de åtgärder du kan ta för att stärka ditt försvar.
Vad är ett penetrationstest?
Penetrationstest, även känt som pentest, refererar till processen att efterlikna verkliga cyberattacker för att identifiera och åtgärda sårbarheter i system eller nätverk.
Hur kan du få en objektiv mätning av effektiviteten i ditt cyberförsvar? Är de åtgärder du har infört så ogenomträngliga som du hoppas? Penetrationstestning ger dig svaret.
Techopedia förklarar pentest
Säker cybersäkerhet bygger på tre pelare:
- Tekniska åtgärder
- IT-styrning
- Utbildning i medvetenhet för personalen
Utbildning i medvetenhet för personalen, repetitionsutbildningar och introduktionskurser för nya anställda definieras och schemaläggs i dina IT-styrningsprocedurer, och din IT-styrning bör regelbundet granskas genom att utföra revisioner. Det täcker två av pelarna. Men hur granskar du dina tekniska försvarsåtgärder?
Det är funktionen som penetrationstest fyller. Den letar efter sårbarheter och svagheter i ditt nätverksförsvar. Cybersäkerhet är inget du kan implementera och sedan glömma bort. Du kan installera den senaste hårdvaran och mjukvaran, men det är inte slutet. Du kan inte luta dig tillbaka och tro att du har checkat av cybersäkerhet.
All icke-trivial mjukvara kommer att innehålla buggar. Det inkluderar applikationsmjukvara, operativsystem och firmware i nätverksanslutna enheter som brandväggar, routrar och switchar. Dessa buggar kan leda till sårbarheter, och sårbarheter kan exploateras. Det är därför tillverkare släpper säkerhetsuppdateringar. Dessa rättar till buggar och täpper igen sårbarheter som har upptäckts sedan den förra uppdateringen släpptes.
Penetrationstester utförs genom skanningar. Sofistikerad mjukvara används för att skanna nätverk, applikationer, enheter och fysiska säkerhetskomponenter. Den identifierar varje element i nätverket, hämtar mjukvaru- eller firmwareversion samt uppdateringsstatus och rapporterar om kända sårbarheter som ännu inte har åtgärdats i dina nätverk.
En bra penetrationstestning letar också efter attackvektorer som inte är beroende av sårbarheter i mjukvara eller hårdvara. Den söker även efter konfigurationsfel och problem som beror på dålig cyberhygien, såsom att standardlösenord inte bytts ut på enheter, svaga lösenord eller konton som saknar lösenord helt och hållet.
Om du inte kan mäta det är det svårt, om inte omöjligt, att hantera det. Penetrationstester gör det möjligt för organisationer att verkligen känna till styrkan i sitt försvar och att säkerställa att alla områden, avdelningar och nätverk är lika väl skyddade.
Du behöver hitta och åtgärda sårbarheterna innan hotaktörer gör det. Eftersom de rapporterade sårbarheterna rankas eller kategoriseras efter allvarlighetsgrad är det enkelt att prioritera de som behöver åtgärdas omgående.
Betydelsen av penetrationstestning
En bra penetrationstestning gör det möjligt för dig att:
- Verifiera dina säkerhetskontroller: Mäta det övergripande hälsotillståndet för säkerhetslagren i dina applikationer, nätverk och fysiska enheter. Framför allt, vad behöver du göra för att förbättra dem?
- Upptäcka sårbarheter: Penetrationstestning identifierar sårbarheter du kanske aldrig ens har tänkt på. Och om du inte känner till dem kan du inte åtgärda dem.
- Upprätthålla efterlevnad: Standardiseringsorgan – eller kunder och partners – kan kräva att du genomför regelbundna penetrationstester och att du kan visa bevis på de åtgärder du har vidtagit för att hantera sårbarheterna. Till exempel har Payment Card Industry Data Security Standard (PCI-DSS) detta krav när din transaktionsvolym med kreditkort är tillräckligt hög.
- Demonstrera engagemang för säkerhet: Att begära bevis på IT-styrning, efterlevnad av relevanta dataskyddsstandarder och att fråga när dina senaste penetrationstester genomfördes är numera en standarddel av due diligence.
Att utföra penetrationstestning
Penetrationstestning kan utföras internt eller överlåtas till specialiserade företag.
Intern penetrationstestning
För att utföra penetrationstestning internt behöver du programvara för penetrationstestning och tillräckligt kompetent personal. Professionell penetrationstestning kan ta olika former, från automatiserade programvaruskanningar till att etiska hackare aktivt försöker ta sig in i ditt nätverk, din webbplats eller din organisation i så kallade “red team-attacker.”
Extern penetrationstestning
Att outsourca penetrationstester kan vara fördelaktigt. Det säkerställer att du får objektivitet. Resultaten kan också få större tyngd. En penetrationsrapport från ett välrenommerat företag som är specialiserat på penetrationstestning är sannolikt mer övertygande än en rapport som produceras internt.
Det finns externa penetrationstester och interna penetrationstester. Dessa kallas ibland för black box- och white box-tester.
Externt penetrationstest
I ett externt penetrationstest – ett black box-test – har testaren ingen information om kundens försvarsåtgärder. De befinner sig i samma situation som en verklig hotaktör. De försöker hitta vägar från omvärlden in till ditt nätverk eller din webbplats.
Internt penetrationstest
Interna penetrationstester – white box-tester – är skanningar som utförs inuti nätverket. Dessa skanningar kontrollerar operativsystem, firmware-versioner, applikationsversioner, enhetskonfigurationer och mer. De identifierar sårbarheter som en hotaktör kan utnyttja om de lyckas kompromettera ditt nätverk.
De upptäcker också sårbarheter som kan utnyttjas av skadlig programvara, såsom ransomware. Vid ett white box-test har testaren viss information om ditt nätverk eftersom de är innanför din brandvägg och anslutna till ditt nätverk.
Kombinerat ger dessa tester en mängd information som kan bekräfta att allt är så säkert som du trodde, eller avslöja områden som behöver åtgärdas. Med tiden bör upprepade penetrationstester upptäcka färre och färre sårbarheter.
Olika typer av penetrationstestning
Hotaktörer kommer att utnyttja tre typer av sårbarheter: hårdvara, mjukvara och människor. Programvaror för penetrationstestning kan ställas in för att utföra testpaket beroende på vilken typ av testning som genomförs. Vissa kan även ställas in för att skanna och bedöma resultaten mot en standard du vill följa, som PCI-DSS eller ISO/EUC 27001.
1. Nätverkssäkerhet
Ett externt penetrationstest som använder skanningsprogram för att leta efter och katalogisera sårbarheter som kan upptäckas utanför din organisation, främst genom att undersöka brandväggar, switchar, routrar och exponerade tjänster som Remote Desktop Protocol. Kom ihåg att inkludera dina webbplatser!
Typerna av nätverkskomponenter som undersöks och testas är:
- Felkategoriserade enheter, programvaror eller konton.
- Produktspecifika sårbarheter kan finnas i en viss batch av produkter eller i en specifik modell av enheter. Dessa tester utförs även för programvaror, protokoll och API:er som bör uppdateras, avvecklas eller patchas.
- Sårbarheter i trådlösa nätverk. Är ditt Wi-Fi starkt krypterat, och har du ett separat gästnätverk för Wi-Fi?
- Oönskade tjänster som inte behöver vara aktiverade.
- Brandväggsportar som inte behöver vara öppna och legitimt öppna portar som är otillräckligt skyddade.
- Svaga lösenord eller standardlösenord, samt konton eller portar som inte är lösenordsskyddade alls.
- Mycket, mycket mer.
Penetrationstestningsföretag kan vanligtvis anlitas för att utöka testet bortom de automatiserade skanningarnas omfattning. De kan utföra red team-tester och försöka kompromettera ditt nätverk manuellt.
Detta kommer att innebära en flerfasig metod.
Rekognosering
Digital övervakning utförs på ditt företag. Red team kommer att försöka samla så mycket information som möjligt om ditt företag och din IT-infrastruktur. De kommer att granska sociala medier som LinkedIn, besöka specialiserade sökmotorer, använda portskanning och använda andra tekniker för att skapa en bild av strukturen och sammansättningen av ditt nätverk, samt namnen på dina medarbetare.
En del av denna information kan lätt upptäckas genom att titta på exempelvis “Möt teamet”-sidan på din egen webbplats, om du har en sådan. Dessa namn är viktiga detaljer om testarna planerar att genomföra ett ofarligt phishing-angrepp mot ditt företag som en del av deras testserie.
Val av hot
Red team kommer att välja de attackvektorer de ska använda och de hot de kommer att nyttja. De kommer att lista måltavlor och bestämma vilka som är deras primära och sekundära mål. Dessa mål är vanligtvis dina mest värdefulla tillgångar.
Om de kan visa att en verklig hotaktör hade kunnat få tillgång till dessa tillgångar, är det sannolikt att din ledning kommer att uppmärksamma de åtgärder och andra rekommendationer som red team presenterar vid testets slut.
Attack och kompromettering
Utrustade med ett antal exploateringsverktyg, erfarenhet, skicklighet och den information de samlat om dig och ditt nätverk under rekognoseringsfasen, kommer red team att attackera ditt nätverk precis som en hotaktör skulle göra.
Rapportering
Red team kommer att leverera en rapport som beskriver vad de lyckades åstadkomma, vilka exploateringar som var framgångsrika, och vilken potentiell skada ditt företag kunde ha drabbats av om attacken varit verklig. Korrigerande åtgärder anges också för att möjliggöra förbättringar av dina säkerhetsbrister.
Om ett ofarligt phishing-angrepp genomfördes, kommer de anställda som föll för bluffmejlen och klickade på länkarna eller öppnade bilagorna att identifieras som kandidater för en uppfriskande cybersäkerhetsutbildning i personalmedvetenhet.
2. Fysisk penetrationstestning
Fysisk penetrationstestning mäter styrkan i företagets befintliga fysiska åtkomstkontroller. Detta kan inkludera element av social ingenjörskonst, där red team-medlemmar besöker företaget i roller som brandskyddsinspektörer, försäljare, potentiella kunder eller annat som ger dem tillträde från receptionen och vidare in i byggnaden.
När de väl har fått tillgång till byggnaden kan de placera ut dolda enheter som öppnar fjärråtkomst för testarna, ta med sig utskrivna dokument, placera ut USB-enheter infekterade med skadlig kod och så vidare.
3. Penetrationstestning av webbapplikationer
Penetrationstester för webbplatser inkluderar tester för en särskild uppsättning teknologier, protokoll och mjukvarubibliotek som används för att bygga och driva webbplatser. Särskilt intressanta är databaser för lösenord – är de hashsatta, krypterade eller i klartext? – och databasens sårbarhet för obehörig åtkomst.
4. Penetrationstestning av sakernas internet
Företag börjar nu använda enheter inom sakernas internet (Internet of Things, IoT), som smarta termostater för att minska driftkostnader och Wi-Fi-anslutna övervakningskameror för att erbjuda säkerhetsövervakning utan behov av kablar. Dessa enheter är ofta billiga att köpa, enkla att installera och ger den funktionalitet vi behöver eller önskar, vilket gör dem mycket attraktiva att använda.
Men det är viktigt att komma ihåg att dessa är internetanslutna enheter som också är kopplade till ditt Wi-Fi. Att säkra dem är lika viktigt som att säkra vilken annan nätverksansluten enhet som helst.
IoT-penetrationstestning kontrollerar bland annat efter standardlösenord, sårbar firmware, konfigurationsfel, osäkra eller föråldrade protokoll och osäkra API:er.
Vad händer efter testet? Slutsatsen
Du bör använda rapporten som vägledning för dina åtgärder. Hantera självklart de kritiska problemen först. Om du går under däck på ett skepp och ser att skrovet har en stor hål, ett mindre hål och ett pyttelitet hål, täpper du igen det stora hålet först. Samma princip gäller här. Åtgärda den högsta prioriteringen av hot och sårbarheter, och fortsätt tills du har arbetat dig igenom listan.
Rapporter från penetrationstester kan vara omfattande. Men ofta kan en enda korrigerande åtgärd lösa flera problem. Till exempel kan ett föråldrat eller självsignerat SSL-certifikat generera en lång lista av sårbarheter, men det är en enkel åtgärd som kan avhjälpa alla relaterade sårbarheter med en enda lösning.
Om det behövs, låt personal som föll för phishing- eller social engineering-attacker genomgå utbildning i cybersäkerhetsmedvetenhet.
Planera in dina nästa penetrationstester. Om du är bunden av en standard som PCI-DSS kan den minimala testfrekvensen redan vara fastställd åt dig.
Referenser
- World-Class Cybersecurity Solutions (Almata)