Därför bör du inte beställa ett penetrationstest

IDG/TechWorld publicerade nyligen en artikel med titlen ”Därför bör du inte beställa ett penetrationstest”. Författaren går igenom skillnaden mellan en sårbarhetsskanning, penetrationstest samt säkerhetgranskning och listar några vanligt förekommande fel såsom:

Ett exempel är ett fall där en utförare genomförde en sårbarhetsskanning av ett nytt system med hjälp av ett automatiserat sårbarhetsskanningsverktyg, som inte lyckades identifiera några sårbarheter. Utföraren lämnade då in en rapport med slutsatsen att systemen inte har några sårbarheter. En detalj som utföraren missat var att verktyget var inställt på att endast skanna de system som svarade på ping-förfrågningar som blockerades i beställarens brandvägg.

Viktigt också som artikeln trycker på är att ej anlita företag som använder sig av hemliga metoder för att utföra testerna samt att kunskap om verksamheten är viktig. Så att eventuella brister kan bedömas på ett korrekt sätt.

Men det finns många saker som artikeln ej tar upp som också är viktigt att tänka på att testerna utförs mot skarpa system då produktionssystem och utvecklingssystem ofta skiljer sig åt. Även värt att tänka på att pågående verksamhet kan störas om testet utförs mot skarpa system, exempelvis om inloggningskonton blir utelåsta.

Varför man bör välja blackbox, whitebox eller greybox-tester är inget som tyvärr artikeln tar upp. Där stora skillnaden är att beställaren får mer för pengarna genom att beställa whitebox-tester. Dock så kan ledningsgrupp eller liknande hävda ”men angriparen visste ju..” men detta argument håller ofta inte då inget system eller lösnings säkerhet ska baseras på kännedom om dokumentation.