Tänk på detta när du beställer ett penetrationstest
Senast uppdaterad 2021-02-17
Att vara en bra beställare är viktigt för att uppnå effekt. För du som beställare har förväntningar och krav på olika former av leverabler, oftast i form av en rapport och muntlig genomgång.
När det gäller att vara en bra beställare av ett penetrationstest eller IT-säkerhetsgranskning så finns det några viktiga punkter att tänka på redan innan du beställer granskningen.
Vet du vilket system det är som ska testas och vilka avgränsningar och begränsningar finns det i testet? Jag rekommenderar oftast att testa mot skarpa system men något som i praktiken är svårt att genomföra. För det är inte alltid så att eventuella test-system är snarlika med produktionssystem.
Sedan när du väljer företag så rekommenderar jag att kontakta 3-4 st olika och förse dessa med information om vad som ska testas och en ungefärlig uppskattning när det gäller tid.
De flesta tester nu för tiden är så kallade white-box tester där granskaren ges möjlighet att läsa på dokumentation eller källkod redan innan testet utförs. Detta är för att göra testet mer effektivt och således en kostnadsbesparing för beställaren. Motsatsen till white-box tester är blackbox-tester där ingen information annat än eventuellt IP-adress eller domännamn tillhandahålls till granskaren innan.
Kontrollera även vem som personen eller personerna är som ska utföra testerna och hur information hanteras under och efter testet. Används hårddiskkryptering och säker överskrivning av filer? Har personen eller personerna verkligen jobbat med pen-tester och hur många år? Jag rekommenderar minst 5 års erfarenhet. Jag är inte ett jättestort fan av certifieringar men det finns etta antal såsom CEH, GPEN och OSCP som är väletablerade.
Ställ även gärna krav på punkter som ska ingå i rapporteringen såsom åtgärdsförslag, prioriteringslista och vilka verktyg som nyttjats. Även om penetrationstestare är supermänniskor så hjälper automatiserade verktyg en hel del på traven och kan identifiera sådant som enbart manuell granskning skulle identifiera.
Se till att det finns resurser avdelade för att stödja granskningen om eventuella frågor uppstår.
Glöm inte heller att avsätta tid i offerten för en uppföljning där ni kan kontrollera om rapporterade brister är åtgärdade.
Glöm inte heller att begränsa sådant ni absolut inte vill ska förekomma. Och några vanliga delar är:
- Utför ej överbelastningsattacker
- Utför ej Social Engineering
- Inga förstörande tester
- Modifiera ej data
Följande Google Drive länk innehåller en uppdragsbeskrivning för ett penetrationstest som du gärna får använda eller kommentera:
Om du har frågor om penetrationstester eller IT-säkerhetsgranskningar är du välkommen att kontakta mig, Jonas Lejon på Triop AB.