
René H. Hansen
CTO
Der findes mange typer test på markedet
De senere år er der kommet mere fokus på it-sikkerhed og ledelsen har fået øjnene op for nødvendigheden af at være proaktive i stedet for reaktive. Det er billigere i længden. Derfor er de begyndt at bede deres CIOs om assesments og test, der kan demonstrere sikkerhedsniveauet.
Tanken falder så ofte på penetrationstest med realistiske scenarier, hvor eksterne konsulenter prøver alt det nyeste af, uden nogen forudgiven indsigt i organisationen. Det er dét, vi skal!
Og det kan være rigtigt. Modenheden er høj eller hvis det handler om at overbevise ledelsen om, at I rent faktisk kan hackes. Men det er ikke sikkert, at det er der, I får mest sikkerhed for pengene.
De eksterne systemer er mest i farezonen
Som minimum anbefaler vi at alle virksomheder får foretaget løbende sikkerhedsanalyser af deres eksternt eksponeret systemer. Da disse systemer er offentligt tilgængelige. De er under konstant angreb og der skal kun en enkel sårbarhed eller fejlkonfiguration til, før den første enhed kan blive kompromitteret.
Nogle af de eksternt tilgængelige systemet kan være vigtigere og mere komplekse end andre. Hvis der er en kundeportal eller et system, som indeholder kundedata, anbefaler vi, at disse bliver testet grundigere med en manuel webapplikationstest. Her vil adgangskontrol, APIer, logiske fejl med mere blive gennemtestet i dybden.
Andre gang er det nok at køre eksterne sårbarhedsscanninger.
Gør det derpå vanskeligt at eskalere angrebet i jeres infrastruktur
Når der er styr på de eksterne systemer, anbefaler vi, at der bliver set på sikkerheden internt på netværket. Med en intern sårbarhedsanalyse vil sårbarheder, der vil kunne udnyttes af for eksempel malware, blive påvist, så de kan blive løst.
Mange angreb sker igennem medarbejders maskiner, så det er derfor vigtigt at sikkerheden internt på netværket, er i orden. Der er ikke er langt fra en kompromitteret maskine til et kompromitteret netværk.
Den interne sårbarhedsanalyse kan udvides med en Assume Breach sikkerhedstest, hvor konsulenter manuelt undersøger, hvad der kan ske, hvis en medarbejder PC bliver kompromitteret. Her er det ikke kun sårbarheder, der tjekkes for, men også fejlkonfigurationer i AD, rettigheder, netværkstrafik og hvad der ellers kan være relevant for at opnå administrative adgang til domænet.
Følg en teststrategi
Når man får foretaget løbende sikkerhedstests af forskellige slags, anbefaler vi, at de bliver indsat i et årshjul. Så kan I bedre planlægge efter, hvornår I få arbejdet med resultaterne, inden den næste test bliver udført.
Dette giver jer nogle naturlige deadlines, hvilket kan være en god ide, da opfølgningen på sikkerhedstestene ellers hurtigt kan blive nedprioriteret, når de daglige opgaver melder sig.
it-sikkerhed kan blive omkostningstungt, da man altid kan gøre mere for at højne sikkerheden. Det er vigtigt at afgøre, hvilket niveau af sikkerhed man ønsker at opnå, før man går i gang med at bestille det nyeste udstyr og får foretaget unødvendige tests.
Vil du ringes op?
Benyt kontaktformularen, og vi vil ringe dig op inden for 48 timer.
Recent Comments