Säkerhetstest • Artikel

Sårbarhetsscanning och penetrationstester – när, hur och varför?

Sårbarhetsscanningar och penetrationstester är båda viktiga verktyg för att upprätthålla en hög IT-säkerhet i din organisation. Genom att kombinera detta med riktade väl avvägda åtgärder skapar du ett starkt och kostnadseffektivt skydd för dina system- och nätverksmiljöer.

Sårbarhetsscanning vs. penetrationstest

Parallellt med att nätverksmiljöer blir allt mer avancerade och komplexa, ökar också exponeringen för olika typer av sårbarheter. För att upptäcka och åtgärda dessa sårbarheter innan någon illasinnad hinner utnyttja dem, krävs regelbundna kontroller och tester. Två metoder som på olika sätt tjänar viktiga funktioner för att skydda en nätverksmiljö är sårbarhetsscanningar och penetrationstester. Vi har tittat närmare på vilka syften de olika metoderna tjänar, hur de skiljer sig åt samt hur de kompletterar varandra.

Sårbarhetsscanning

Sårbarhetsscanningar är automatiserade verktyg som identifierar och klassificerar sårbarheter i datorer, nätverk och applikationer genom att matcha dem mot redan kända systembrister. Det kan till exempel röra sig om problem som saknade patchar och föråldrade protokoll, certifikat och tjänster.

Det finns två nivåer av sårbarhetsscanning; autentiserad och oautentiserad.

Autentiserade scanningar tillåts samma åtkomst som privilegierade användare. Det gör det möjligt för scannern att gräva djupare i ett nätverk och upptäcka hot inifrån, så som svaga lösenord, skadlig programvara, installerade program och konfigurationsproblem. Metoden kan simulera vad en systemanvändare har tillgång till och vilken skada denne potentiellt kan åstadkomma.

Oautentisierade scanningar tilldelas ingen privilegierad åtkomst, utan söker istället igenom de system som är tillgängliga från utsidan, alternativt från insidan genom någon som har fysisk åtkomst till systemet eller miljön men inte har möjlighet att logga in. Metoden ger ett resultat med en lägre detaljnivå om sårbarheter i systemet eller miljön, och används främst av angripare eller säkerhetsanalytiker som utan förkunskap försöker hitta externa vägar in.

För att skapa och upprätthålla en hög säkerhetsnivå i sin nätverksmiljö är regelbunden sårbarhetssökning av känsliga nät nödvändig, gärna kvartalsvis. Utöver det bör nya eller förändrade system och utrustning alltid scannas innan de sätts i bruk.

Sårbarhetsscanningarna kan både utföras internt och av externa leverantörer. Scanningsleverantörer kan vara certifierade och specialiserade inom olika områden, till exempel betalkortsindustrin (PCI) för att scanna betalkortsnätverk.

Penetrationstest

Ett penetrationstest utförs av en eller flera tekniska experter med erfarenhet av att kombinera olika tekniska verktyg för att hitta och utnyttja sårbarheter i system och miljöer på ett sätt som en potentiell intelligent angripare skulle göra. Medan en sårbarhetssökning är automatiserad, kräver ett penetrationstest olika nivåer av expertis eftersom testet syftar till att identifiera sårbarheter och ingångar som inte nödvändigtvis är kända sedan tidigare. Det kan till exempel handla om överföring av okrypterad känslig information, återanvändning av lösenord och glömda databaser.

Penetrationstester behöver inte genomföras lika ofta som sårbarhetsskanningar, men bör åtminstone ske årligen och inför lansering av nya system eller applikationer. De ska med fördel utföras av en tredjepartsleverantör för att ge en objektiv bild av nätverksmiljön och undvika intressekonflikter.

Ett penetrationstest kan utföras med hjälp av olika verktyg men hur framgångsrikt det blir beror främst på testaren. En bra penetrationstestare bör ha:

  • Teknisk expertis och praktisk erfarenhet av att utnyttja en stor mängd olika typer av sårbarheter
  • Gärna erfarenhet inom informationsteknik i organisationens affärsområde
  • Förmåga att tänka abstrakt och försöka förutse angriparbeteenden
  • Bra fokus för att kunna vara övergripande men samtidigt noggrann i sin analys
  • God förmåga att kommunicera slutsatser om brister till mottagare på olika nivåer i organisationen

Resultatdelen i en penetrationstestrapport måste inte nödvändigtvis vara kort och koncis men konkreta slutsatser och rekommendationer ska vara tydliga och precisa. Rapporten kan ha bilagor som innehåller mer specifika detaljer, men huvuddelen av rapporten bör fokusera på vilka data som äventyras och hur. För att vara användbar för kunden bör rapporten beskriva de faktiska angreppsmetoderna och varje identifierad brist ska åtföljas av minst ett konkret åtgärdsförslag.

Tabellen nedan beskriver skillnaden mellan sårbarhetsscanning och penetrationstest i korthet:

SårbarhetsscanningPenetrationstest
FrekvensMinst kvartalsvis samt vid betydande förändringar i nätverk och utrustning.En till två gånger om året samt vid betydande förändringar i nätverk och utrustning.
RapporterGer en omfattande bild av vilka sårbarheter som finns och vad som har förändrats sedan den senaste rapporten.Anger i detalj vilken information som äventyras samt vilka säkerhetsåtgärder som bör vidtas.
FokusListar kända sårbarheter som kan utnyttjas.Upptäcker okända och exploaterbara sårbarheter i specifika objekt eller normala affärsprocesser.
GenomförandeKräver teknisk expertis men inte med samma kompetens- och erfarenhetsnivå som vid penetrationstester.Utförs med fördel av oberoende externa leverantörer, gärna växelvis mellan två eller flera. Kräver stor expertis.
VärdeDetekterar när utrustning kan äventyras.Identifierar och minskar sårbarheter.

Vill du veta mer?

Har du system eller nätverk som behöver testas? Vi har landets vassaste pentestgrupp som har över 20 års erfarenhet av att hjälpa företag och organisationer att höja sin IT-säkerhet.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.