Her taler jeg selvfølgelig om penetrationstest. For nylig var den uafhængige tænketank Cyber Resilience Think ude og sige, at det er tid til at pensionere den såkaldte penetrationstest. Den forudsigelse er jeg ikke enig i, jeg mener derimod, at vi hellere skal tale om, at en gang om året ikke er nok, og at en penetrationstest ikke kan stå alene.
Hvad er forskellen på en sårbarhedsscanning og en penetrationstest
June 21, 2021 at 09:22
Begreber indenfor it-sikkerhedsverden er ikke beskyttet varemærker, og derfor kan det som it-professionel være svært at sammenligne ydelser. Vi kalder det alle noget forskelligt, og der findes rigtig meget bullshit lingo og forkortelser i vores branche – som i så mange andre. I dette indlæg vil jeg forsøge at forklare forskellen på en sårbarhedsscanning og en penetrationstest og give dig input til, hvilke spørgsmål du med fordel kan stille din it-sikkerhedsleverandør, så du kan få svar på om du har valgt den rigtige løsning.
En traditionel penetrationstest er en proces til at finde sårbarheder. En penetrationstest er eksempelvis en test af en webapplikation og bruges ofte før ibrugtagen af nye applikationer. Dine webapplikationer er dit vindue ud af til. Det er dit image, og derfor er det vigtigt at få identificeret eventuelle huller via en penetrationstest, inden hackeren opdager det. Oftest foretages penetrationstest kun en gang om året og i nogle tilfælde blot for at tilfredsstille auditører.
En sårbarhedsscanning inden for it-sikkerhed, svarer til en MR-scanning inden for sundhedsbranchen. En sårbarhedsscanning er en automatiseret scanning med det formål at fange de lavt hængende frugter i forhold til sårbarheder, og dem der oftest bliver udnyttet. En sårbarhedsscanning vil også finde ting, som er udstillet, men som ikke bør være det. Kan f.eks. et fjernskrivebord tilgås udefra, er websitet beskyttet med den rette SSL-kryptering? En sårbarhedsscanning er
Nedenstående er ikke en fyldestgørende liste, men her kommer mit bud på spørgsmål, så du kan få svar på om du har valgt den rigtige løsning.
Penetrationstest:
- Hvilke ressourcer bliver der benyttet til at gennemføre penetrationstesten?
- Er eventuelle sårbarheder verificeret og efterprøvet før de bliver rapporteret til dig?
- Er automatiserede værktøjer en del af det?
- Hvilke metodikker arbejdes derefter?
- Hvordan gennemføres den kreative del af penetrationstesten?
- Gennemføres penetrationstesten som en one-off eller som en løbende ydelse?
- Hvordan rapporterer I og på hvilket niveau?
Sårbarhedsscanning:
- Er scanningen baseret på et eller flere værktøjer?
- Hvilken dækning har scanningen? Gennemføres der scanning af f.eks. evt. webapplikationer?
- Er eventuelle sårbarheder verificeret og efterprøvet før de bliver rapporteret til dig?
- Hvordan bliver sårbarhederne rangeret i forhold til din virksomhed?
- Hvordan rapporterer I og på hvilket niveau?
Er en gang om året nok?
Hvis penetrationstesten er den rigtige løsning på dit behov, så er næste spørgsmål: Hvad gør du så med de nye angrebsmetoder, der kommer i løbet af året? Kan din virksomhed leve med, at der kan være op til et år mellem tests af, om I som virksomhed er sårbare? For de fleste er svaret er nok nej. Derfor vil vi foreslå en løbende penetrationstest med løbende rapportering. Det er ikke kun os, der som it-sikkerhedsleverandør foreslår det. Hvis du følger Datatilsynets vejledninger, så anbefaler de, at du som dataansvarlig eller databehandler regelmæssigt udfører sikkerhedstests, herunder penetrationstest.