Många organisationer utför, själva eller med hjälp av konsulter eller externa säkerhetsföretag, säkerhetstester. Ibland kallas de penetrationstester av it-infrastruktur, såsom sin internetanslutning, externt tillgängliga it-tjänster, med mera. Men vad utgör ett bra säkerhetstest? Eller vad kännetecknar ett säkerhetstest överhuvudtaget?
Det är en fråga som det finns flera olika svar på. Vi börjar i änden om vad som är definierat enligt en standard. Enligt ISO27005 är ”målsättning med penetrationstester att granska ICT-systemet med utgångspunkt från hotkällan och att identifiera potentiella brister i ICT-systemets skyddsplan” och att ”resultaten av dessa typer av säkerhetstester hjälper till att identifiera ett systems sårbarheter”.
Vi hoppar från standardsvaret till hur det fungerar i verkliga världen. Ofta beror det på att någon vill få en viss implementation verifierad i samband med utveckling, installation, projektavslut eller acceptanstester. Verifikationen ska visa att säkerheten håller en nivå som beställaren eller ledningen bestämt att det ska vara.
Ibland finns det tvärtom ett behov att demonstrera svagheter i en lösning, en applikation eller en plattform för att få beslutsfattare, tekniskt ansvariga eller liknande att med egna ögon se och förstå hur ett angrepp går till i praktiken. Och hur lätt det kan vara att utföra en viss typ av attack. Inte sällan är det säkerhetsansvarige som behöver visa för okritiska kollegor hur det egentligen förhåller sig.
En annan fråga är om säkerhetstesten enbart ska omfatta tekniska tester eller ska det göras en bredare kontroll?
En annan parameter som är viktig när det gäller säkerhetstester är under vilka former testerna skall genomföras. Ska testerna göras i blindo, så kallad blackboxtesting, eller med viss insiderkunskap, så kallad greybox, eller med fullständig åtkomst till interna dokument och intern kunskap, så kallad whitebox? Det finns vinster med alla varianterna. Personligen så tycker jag att whitebox ger mer valuta för pengarna då testerna kan utföras snabbare men att blackbox kan vara mer spektakulär, vilket kan vara en viktig insikt.
Ofta landar det i vilka förutsättningar det finns för att göra ett bra test. Finns rätt kompetens, bra verktyg, åtkomst till produktionssystem eller likvärdiga system, tillräckligt med tid att utföra testerna? Ofta är svaret nej, på någon eller några av dessa frågor. Vad är då ett test värt?
En sak som ibland inte hanteras på det sätt som den förtjänar är testresultaten. Vad är poängen om det inte blir någon kunskapsåterföring? Eller att man inte åtgärdar identifierat sårbarheter och problem? Tekniska ändringar är ofta lättare än hantering av mjuka frågor inom områdena organisatorisk eller administrativ säkerhet. Utpekat ansvar och mandat, rätt placering i organisationen eller rätt utbildning kan vara minst lika viktigt som en tekniskt detalj i en skyddsmekanism.
Det är en fråga som det finns flera olika svar på. Vi börjar i änden om vad som är definierat enligt en standard. Enligt ISO27005 är ”målsättning med penetrationstester att granska ICT-systemet med utgångspunkt från hotkällan och att identifiera potentiella brister i ICT-systemets skyddsplan” och att ”resultaten av dessa typer av säkerhetstester hjälper till att identifiera ett systems sårbarheter”.
Vi hoppar från standardsvaret till hur det fungerar i verkliga världen. Ofta beror det på att någon vill få en viss implementation verifierad i samband med utveckling, installation, projektavslut eller acceptanstester. Verifikationen ska visa att säkerheten håller en nivå som beställaren eller ledningen bestämt att det ska vara.
Ibland finns det tvärtom ett behov att demonstrera svagheter i en lösning, en applikation eller en plattform för att få beslutsfattare, tekniskt ansvariga eller liknande att med egna ögon se och förstå hur ett angrepp går till i praktiken. Och hur lätt det kan vara att utföra en viss typ av attack. Inte sällan är det säkerhetsansvarige som behöver visa för okritiska kollegor hur det egentligen förhåller sig.
En annan fråga är om säkerhetstesten enbart ska omfatta tekniska tester eller ska det göras en bredare kontroll?
En annan parameter som är viktig när det gäller säkerhetstester är under vilka former testerna skall genomföras. Ska testerna göras i blindo, så kallad blackboxtesting, eller med viss insiderkunskap, så kallad greybox, eller med fullständig åtkomst till interna dokument och intern kunskap, så kallad whitebox? Det finns vinster med alla varianterna. Personligen så tycker jag att whitebox ger mer valuta för pengarna då testerna kan utföras snabbare men att blackbox kan vara mer spektakulär, vilket kan vara en viktig insikt.
Ofta landar det i vilka förutsättningar det finns för att göra ett bra test. Finns rätt kompetens, bra verktyg, åtkomst till produktionssystem eller likvärdiga system, tillräckligt med tid att utföra testerna? Ofta är svaret nej, på någon eller några av dessa frågor. Vad är då ett test värt?
En sak som ibland inte hanteras på det sätt som den förtjänar är testresultaten. Vad är poängen om det inte blir någon kunskapsåterföring? Eller att man inte åtgärdar identifierat sårbarheter och problem? Tekniska ändringar är ofta lättare än hantering av mjuka frågor inom områdena organisatorisk eller administrativ säkerhet. Utpekat ansvar och mandat, rätt placering i organisationen eller rätt utbildning kan vara minst lika viktigt som en tekniskt detalj i en skyddsmekanism.
