Kategorier
Metodik

Tänk på detta när du beställer ett penetrationstest

Att vara en bra beställare är viktigt för att uppnå effekt. För du som beställare har förväntningar och krav på olika former av leverabler, oftast i form av en rapport och muntlig genomgång.

När det gäller att vara en bra beställare av ett penetrationstest eller IT-säkerhetsgranskning så finns det några viktiga punkter att tänka på redan innan du beställer granskningen.

Vet du vilket system det är som ska testas och vilka avgränsningar och begränsningar finns det i testet? Jag rekommenderar oftast att testa mot skarpa system men något som i praktiken är svårt att genomföra. För det är inte alltid så att eventuella test-system är snarlika med produktionssystem.

penetrationstest

Sedan när du väljer företag så rekommenderar jag att kontakta 3-4 st olika och förse dessa med information om vad som ska testas och en ungefärlig uppskattning när det gäller tid.

De flesta tester nu för tiden är så kallade white-box tester där granskaren ges möjlighet att läsa på dokumentation eller källkod redan innan testet utförs. Detta är för att göra testet mer effektivt och således en kostnadsbesparing för beställaren. Motsatsen till white-box tester är blackbox-tester där ingen information annat än eventuellt IP-adress eller domännamn tillhandahålls till granskaren innan.

Kontrollera även vem som personen eller personerna är som ska utföra testerna och hur information hanteras under och efter testet. Används hårddiskkryptering och säker överskrivning av filer?

Ställ även gärna krav på punkter som ska ingå i rapporteringen såsom åtgärdsförslag, prioriteringslista och vilka verktyg som nyttjats. Även om penetrationstestare är supermänniskor så hjälper automatiserade verktyg en hel del på traven och kan identifiera sådant som enbart manuell granskning skulle identifiera.

Se till att det finns resurser avdelade för att stödja granskningen om eventuella frågor uppstår.

Jag är även förespråkare för att genomföra två tester, ett initialt test som kanske tar någon enstaka dag för att sedan följas upp med ett längre test på cirka 2 veckor. Givetvis kan man testa system hur länge som helst men någonstans måste en avvägning göras.

Om du har frågor om penetrationstester eller IT-säkerhetsgranskningar är du välkommen att kontakta mig, Jonas Lejon på Triop AB.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *