Vi arbejder ud fra det etiske mindset: ″Think Evil,
do Good″
Penetrationstests
IT-industriens forståelse af sikkerhed er modnet meget over de seneste år, og det er blevet klart, at det ikke er tilstrækkeligt at fokusere alene på sikring af systemerne. Hvis systemerne skal være sikre, skal de testes, og det kan kun gøres med en hackers mindset. Hvis vi ikke forstår hackerens tilgang og tankegang, er det vanskeligt at beskytte os mod dem.
Hvad er penetrationstests?
Med såkaldte penetrationstests har vi mulighed for at agere som hackere og forsøge selv at bryde ind i systemet, inden andre kan få mulighed for det. Det giver os en forståelse for, hvor applikationen er usikker, og hvordan den skal sikres og tilpasses for at mitigere eventuelle sårbarheder.
Penetrationstests er adgangstests, der gennem de eksisterende funktionaliteter i en hjemmeside eller i et program kan give adgang til mere, end det var tiltænkt. Denne form for test er dybdegående metodisk og kræver individuel opsætning samt analyse.
At etablere og foretage penetrationstests forudsætter en betydelig mængde specialviden og ekspertise, der kan være vanskelig at etablere internt i virksomheden.
Kvasir tilbyder følgende typer penetrationstests:
- Web-penetrationstest: Simulering af et hackerangreb på en webapplikation designet til at demonstrere sikkerhedsdefekter og identificere fejl og mangler, der kan tillade uautoriseret adgang og/eller uautoriserede transaktioner.
- Applikations-penetrationstest: Gennemgang af applikationens funktionalitet for at bestemme sårbarheder ved at simulere et hackerangreb og gennemgang af applikationens konfigurationer for at bestemme svagheder.
- Go-live trygheds – penetrationstest: Penetrationstest af systemet inden det tages i brug til at bestemme, om systemet har sårbarheder, der kan udnyttes. Dette vil være en variation af web- og applikations- penetrations tests alt efter systemet.
Metode
Vores tilgang kan summeres som:
- Etablering af scope og angrebsprofil
- Determining og skanning af systemer og adgangspunkter
- Overfladisk manuel penetrationstest for at determinere etablerede adgangspunkter
- Automatisk penetrationstest for at afdække store områder og sikre komplethed
- Manuel penetrationstest for at verificere findings og etablere eventuelle nye skanninger baseret på findings
- Rapporterings af findings inklusiv beskrivelse af sårbarheder
- Angrebsvektor for sårbarheder – til både forståelse, verifikation samt gentest
- Udarbejdelse af remedies til identificerede sårbarheder
Afrapportering
I forbindelse med alle penetrationstests bliver der efterfølgende udarbejdet en solid rapport, der har til formål at give jeres virksomhed et overblik over de identificerede sårbarheder. Rapporten beskriver ikke kun de identificerede sårbarheder, men gennemgår hvordan de kan genskabes, samt hvordan den bagvedliggende kode og konfiguration kan tilpasses for at mitigere dem. Dette støtter op om den efterfølgende opgave med tilretning og giver udviklerne et godt værktøje, til at verificere at tilretningen har haft den ønskede effekt.
I Kvasir har vi stort fokus på vores afrapportering, og rapporten er skræddersyet til at give maximal værdi for den enkelte kunde. En solid rapport er et essentielt værktøj i det videre forløb med at tilrette systemerne og afhjælpe at lignende problemstillinger ikke opstår igen. En penetrationstestrapport fra Kvasir, kræver ikke nogen efterbehandling og kan indrages direkte til sprint planlægningsmøderne. Der beskrives konkrete tiltag til mitigering af de kritiske sårbarheder og opgaverne er kategoriseret efter deres trussel for virksomheden og dennes compliance krav.
Ved de essentielle findings, bliver der udarbejdet en sektion indeholdende de forretningsmæssige konsekvenser, som et potentielt angreb kunne medføre. Et eksempel fra en rapport kunne være:
Derefter følger en sektion med en kort beskrivelse af den underliggende årsag til sårbarheden samt en checkliste til udbedringer:
Derefter kommer der en sektion med "Proof of concept" i step-by-step form, fra det helt simple, til de meget komplicerede med mange steps:
