Behöver Er organisation hjälp med penetrationstester?

PenetrationstestInformation om penetrationstester och IT-säkerhetsgranskningar

  • Hem
  • Verktyg
  • Penetrationstest av WordPress
  • Publika rapporter
  • Så skriver du en rapport

Frågor vid beställning av penetrationstest

Kategori: Metodik Taggar: blackbox, whitebox

Skrivet 2015-05-26

Tweet

penetrationstest

Vi tog ett snack med Magnus på Säkerhetskontoret AB och frågade om några saker som är bra att tänka på vid beställning av ett penetrationstest:

  1. Vad är syftet med penetrationstestet? (Kunden måste själv förstå vad den beställer, något som inte alltid är fallet). Handlar det om compliance (kryssa i rutan ‘pentest genomfört’), eller vill man hitta sårbarheter ‘på riktigt’? Svaret på detta sätter nivån och ambitionen med testet
  2. Vill man testa ett specifikt system, en rad system, eller hela sin IT-miljö? (Kunden måste veta detta själv)
  3. Vill man testa system är det bra om man är villig att även lämna ut källkod
  4. Vill man testa sin IT-miljö behöver man ha klart för sig begränsningar med att pentesta en produktionsmiljö (ett pentest ger inte alltid bra svar på hur en ‘riktig’ angripare skulle lyckas, eftersom man inte kan göra vad som helst i nätet)
  5. Vilken kompetens har pentestaren? Tidigare uppdrag, bakgrund, programmeringskunskaper?, använder man uteslutande köp-verktyg?
  6. Certifieringar (visar mest att någon velat satsa på personen i fråga, snarare än en indikation på kompetens)
  7. Hur skyddar pentestaren företagets data som oundvikligen blir exponerat om pentestet ‘lyckas’?
  8. Vilken plattform utför pentestaren arbetet från? (sin egen windows-laptop / specifik dator med annat OS / annat?)
  9. Vad händer med insamlat material efter utfört arbete? (både digitalt och fysiskt)
  10. Hur rapporteras resultatet? Rapport, Föredragning
  11. Vad innehåller resultatet?
  12. Listning av sårbarheter? Angreppssätt? Förslag på åtgärder? Analyser? Slutsatser?
  13. Vem utför uppdraget? Seniorkonsulten som kommer på mötet, eller junioren som precis anställts?
  14. Hur ser pentestaren på blackbox/whitebox testning? (fråga att ställa leverantören) Rätt svar är att blackbox testar pentestarens skicklighet med liten möjlighet för kunden att värdera resultatet. Whitebox ökar möjligheten att även en inkompetent testare hittar något.

Vad tycker du, är det något viktigt vi har missat? Lämna gärna en kommentar nedan.

Relaterade

Jonas Lejon

Jonas Lejon som skrivit denna artikel driver företaget Triop AB och är en av Sveriges främsta IT-säkerhetsexperter. Kontakta mig gärna på [email protected] om Er organisation behöver hjälp.


Twitter @kryptera

Dela gärna detta inlägg:

Klicka här för att avbryta svar.

Kommentarer

Senaste kommentarer

  • Albert om Så skapar du ett enkelt pentest-labb
  • Albert om Så skapar du ett enkelt pentest-labb
  • Albert om Så skapar du ett enkelt pentest-labb
  • JoachimS om Knäck lösenord i molnet med Hashcat 😸
  • Thomas om Kali Linux 2016.2

Arkiv

  • maj 2017
  • april 2017
  • mars 2017
  • februari 2017
  • januari 2017
  • december 2016
  • oktober 2016
  • september 2016
  • augusti 2016
  • juni 2016
  • maj 2016
  • april 2016
  • mars 2016
  • februari 2016
  • januari 2016
  • november 2015
  • oktober 2015
  • september 2015
  • augusti 2015
  • juli 2015
  • juni 2015
  • maj 2015
  • mars 2015
  • februari 2015
  • januari 2015
  • december 2014
  • oktober 2014
  • september 2014
  • augusti 2014
  • juli 2014
  • juni 2014
  • maj 2014

Copyright 2017 Triop AB - All Rights reserved.