Penetrationstest

Ett pentrationstest är en praktisk analys av ett objekt där säkerheten testas genom att sårbarheter identifieras och utnyttjas. Testerna undersöker förekomsten av sårbarheter i objektet samt påvisar den skada ett angrepp hade kunnat resultera i.

Det är inte ovanligt att sårbarheter som upptäcks under testerna gör det möjligt att ta kontroll över system eller stjäla känslig information ur dem.
Målet kan bestå av allt från en extern publik webbtjänst till ett helt nätverk av datorer på en arbetsplats. Verktygen, teknikerna och angreppsmetoderna anpassas efter miljön eller objektet som ska testas.

Exempel på testobjekt:
Externt exponerade tjänster – En angripare utanför organisationen identifierar sårbarheter i externa resurser och tjänster för att på så vis komma åt vidare interna resurser eller missbruka systemens funktionalitet
Interna nätverk – Påvisar vilken skada som kan uppstå då en angripare tagit sig in på ett internt nätverk
klientdatorer, servrar, katalogtjänst, brandväggskonfiguration – Undersöker om en användare med låga rättigheter kan tillskansa sig vidare behörigheter eller åtkomst i en miljö
Webbapplikationer – En applikationsanvändare försöker stjäla andra användares information eller behörigheter
API:er som används av exempelvis webbapplikationer, mobilappar eller andra system
Native-applikationer
SCADA-system
Smartphoneappar
Trådlösa nätverk
En organisation, s.k. social engineering
Fysisk utrustning

Då ett penetrationstest är en simulerad attack mot objektet eller miljön så ger det en realistisk uppfattning om de befintliga riskerna. Detta innebär ett mera komplett och tillförlitligt resultat jämfört med en enklare sårbarhetsanalys.

Exempel på arbetsgång under ett penetrationstest:

Uppstartsmöte för att sätta ramar för testet och få information om testobjektet
Kartläggning av objekt samt analys av angreppsytor
Utförande av penetrationstest
Presentation av eventuella sårbarheter
Kund/leverantör åtgärdar säkerhetsbrister
Vi verifierar att brister åtgärdats
Slutrapport

Certezza använder en rad metoder och ramverk för att leverera standardiserade penetrationstester med ett förståeligt och mätbart resultat. Som standard utförs penetrationstester enligt följande metoder:

OWASP Testing Guide v4
OWASP Risk Rating Methodology
Common Vulnerability Scoring System (CVSS v3)
Penetration Testing Execution Standard (PTES)
Open Source Security Testing Methodology Manual (OSSTMM)
Testerna utförs antingen objektorienterat eller målorienterat beroende på vad uppdragsgivaren vill uppnå med testet. Ett objektorienterat penetrationstest har som mål att analysera ett specifikt system (maskin, applikation eller implementation) medan ett målorienterat uppdrag snarare har ett utpekat mål att extrahera en organisations mest värdefulla information.

Rapporter och uppföljning

Certezza levererar alltid en detaljerad rapport samt genomför ett uppföljningsmöte efter varje uppdrag där vi tillsammans med uppdragsgivaren går igenom resultatet av testerna samt lämnar förslag på åtgärder som kan avhjälpa de befintliga riskerna.

Kontakta Certezza via sales@certezza.net för mer information!

Penetrationstest erbjuds inom dessa kompetensområden: