Behöver Er organisation hjälp med penetrationstester?

PenetrationstestInformation om penetrationstester och IT-säkerhetsgranskningar

  • Hem
  • Verktyg
  • Penetrationstest av WordPress
  • Publika rapporter
  • Så skriver du en rapport

Därför bör du inte beställa ett penetrationstest

Kategori: Metodik

Skrivet 2014-09-01

Tweet

IDG/TechWorld publicerade nyligen en artikel med titlen ”Därför bör du inte beställa ett penetrationstest”. Författaren går igenom skillnaden mellan en sårbarhetsskanning, penetrationstest samt säkerhetgranskning och listar några vanligt förekommande fel såsom:

Ett exempel är ett fall där en utförare genomförde en sårbarhetsskanning av ett nytt system med hjälp av ett automatiserat sårbarhetsskanningsverktyg, som inte lyckades identifiera några sårbarheter. Utföraren lämnade då in en rapport med slutsatsen att systemen inte har några sårbarheter. En detalj som utföraren missat var att verktyget var inställt på att endast skanna de system som svarade på ping-förfrågningar som blockerades i beställarens brandvägg.

Viktigt också som artikeln trycker på är att ej anlita företag som använder sig av hemliga metoder för att utföra testerna samt att kunskap om verksamheten är viktig. Så att eventuella brister kan bedömas på ett korrekt sätt.

Men det finns många saker som artikeln ej tar upp som också är viktigt att tänka på att testerna utförs mot skarpa system då produktionssystem och utvecklingssystem ofta skiljer sig åt. Även värt att tänka på att pågående verksamhet kan störas om testet utförs mot skarpa system, exempelvis om inloggningskonton blir utelåsta.

Varför man bör välja blackbox, whitebox eller greybox-tester är inget som tyvärr artikeln tar upp. Där stora skillnaden är att beställaren får mer för pengarna genom att beställa whitebox-tester. Dock så kan ledningsgrupp eller liknande hävda ”men angriparen visste ju..” men detta argument håller ofta inte då inget system eller lösnings säkerhet ska baseras på kännedom om dokumentation.

Relaterade

Jonas Lejon

Jonas Lejon som skrivit denna artikel driver företaget Triop AB och är en av Sveriges främsta IT-säkerhetsexperter. Kontakta mig gärna på [email protected] om Er organisation behöver hjälp.


Twitter @kryptera

Dela gärna detta inlägg:

Klicka här för att avbryta svar.

Kommentarer

Senaste kommentarer

  • Mats om Kör Kali Linux med Vagrant
  • Sebastian Nielsen om Ny metod för att gissa SSH-användare
  • Albert om Så skapar du ett enkelt pentest-labb
  • Albert om Så skapar du ett enkelt pentest-labb
  • Albert om Så skapar du ett enkelt pentest-labb

Arkiv

  • januari 2019
  • november 2018
  • oktober 2018
  • augusti 2018
  • juli 2018
  • mars 2018
  • februari 2018
  • januari 2018
  • november 2017
  • oktober 2017
  • september 2017
  • maj 2017
  • april 2017
  • mars 2017
  • februari 2017
  • januari 2017
  • december 2016
  • oktober 2016
  • september 2016
  • augusti 2016
  • juni 2016
  • maj 2016
  • april 2016
  • mars 2016
  • februari 2016
  • januari 2016
  • november 2015
  • oktober 2015
  • september 2015
  • augusti 2015
  • juli 2015
  • juni 2015
  • maj 2015
  • mars 2015
  • februari 2015
  • januari 2015
  • december 2014
  • oktober 2014
  • september 2014
  • augusti 2014
  • juli 2014
  • juni 2014
  • maj 2014

Copyright 2019 Triop AB - All Rights reserved.