Vi arbejder ud fra det etiske mindset: &Prime;Think Evil, <br/>do Good&Prime;

Vi arbejder ud fra det etiske mindset: ″Think Evil,
do Good″

Penetrationstests

IT-industriens forståelse af sikkerhed har modnet meget over de seneste år, og det er blevet klart, at det ikke er tilstrækkeligt at fokusere alene på sikring af systemerne. Hvis systemerne skal være sikre, skal de testes, og det kan kun gøres med en hackers mindset. Hvis ikke vi forstår hackeres tilgang og tankegang, er det vanskeligt at beskytte os mod dem.

Hvad er penetrationstests?

Med såkaldte penetrationstests har vi mulighed for at agere som hackere og forsøge selv at bryde ind i systemet, inden andre kan få mulighed for det. Det giver os en forståelse for, hvor applikationen er usikker, og hvordan den skal sikres og tilpasses for at mitigere eventuelle sårbarheder.

Penetrationstests er adgangstests, der gennem de eksisterende funktionaliteter i en hjemmeside eller i et program kan give adgang til mere, end det var tiltænkt. Denne form for test er dybdegående metodisk og kræver individuel opsætning samt analyse.

At etablere og foretage penetrationstests forudsætter en betydelig mængde specialviden og ekspertise, der kan være vanskelig at etablere for små og mellemstore virksomheder.

Kvasir tilbyder følgende typer penetrationstests:

  • Web-penetrationstest: Simulering af et hackerangreb på en webapplikation designet til at demonstrere sikkerhedsdefekter og identificere fejl og mangler, der kan tillade uautoriseret adgang og/eller uautoriserede transaktioner.
  • Applikations-penetrationstest: Gennemgang af applikationens funktionalitet for at bestemme sårbarheder ved at simulere et hackerangreb og gennemgang af applikationens konfigurationer for at bestemme svagheder.
  • Go-live trygheds – penetrationstest: Penetrationstest af systemet inden det tages i brug til at bestemme, om systemet har sårbarheder, der kan udnyttes. Dette vil være en variation af web- og applikations- penetrations tests alt efter systemet.

Afrapportering

I forbindelse med alle penetrationstests bliver der efterfølgende udarbejdet en solid rapport, der har til formål at give jeres virksomhed et overblik over de identificerede sårbarheder. Rapporten beskriver ikke kun de identificerede sårbarheder, men gennemgår hvordan de kan genskabes, samt hvordan den bagvedliggende kode og konfiguration kan tilpasses for at mitigere dem. Dette støtter op om den efterfølgende tilretnings opgave og giver udviklerne et godt værktøje, til at verificere at tilretningen har haft den ønskede effekt.

I Kvasir har vi en stor fokus på vores afrapportering, og rapporten er skræddersyet til at give maximal værdi for den enkelte kunde. En solid rapport er et essentielt værktøj i det videre forløb med at tilrette systemerne og afhjælpe at lignende problemstillinger ikke opstår igen. En penetrationstests rapport fra Kvasir, kræver ikke nogen efterbehandling og kan indrages direkte til sprint planlægningsmøderne. Der beskrives konkrete tiltag til mitigering af de kritiske sårbarheder og opgaverne er kategoriseret efter deres trussel for virksomheden og dennes compliance krav.

Ved de prominente finding bliver der udarbejdet en sektion indeholdende, de forretningsmæssige konsekvenser et potentielt angreb kunne medføre. Et eksempel fra en rapport kunne være:
Buissnes impact

Derefter følger en sektion med en kort beskrivelse af den underliggende årsag til sårbarheden samt en checkliste til udbedringer:
Buissnes impact

Derefter kommer der en sektion med "Proof of concept" i step-by-step form, fra det helt simple, til de meget komplicerede med mange steps:
Buissnes impact

Metode

Vores tilgang kan summeres som:

  • Etablering af scope og angrebsprofil
  • Determining og skanning af systemer og adgangspunkter
  • Overfladisk manuel penetrationstest for at determinere etablerede adgangspunkter
  • Automatisk penetrationstest for at afdække store områder og sikre komplethed
  • Manuel penetrationstest for at verificere findings og etablere eventuelle nye skanninger baseret på findings
  • Rapporterings af findings inklusive beskrivelse af sårbarheder
  • Angrebsvektor for sårbarheder – til både forståelse, verifikation samt gentest
  • Udarbejdelse af remedies til identificerede sårbarheder