Vi arbejder ud fra det etiske mindset: &Prime;Think Evil, <br/>do Good&Prime;

Vi arbejder ud fra det etiske mindset: ″Think Evil,
do Good″

Penetrationstests

IT-industriens forståelse af sikkerhed har modnet meget over de seneste år, og det er blevet klart, at det ikke er tilstrækkeligt at fokusere alene på sikring af systemerne. Hvis systemerne skal være sikre, skal de testes, og det kan kun gøres med en hackers mindset. Hvis ikke vi forstår hackeres tilgang og tankegang, er det vanskeligt at beskytte os mod dem.

Hvad er penetrationstests?

Med såkaldte penetrationstests har vi mulighed for at agere som hackere og forsøge selv at bryde ind i systemet, inden andre kan få mulighed for det. Det giver os en forståelse for, hvor applikationen er usikker, og hvordan den skal sikres og tilpasses for at mitigere eventuelle sårbarheder.

Penetrationstests er adgangstests, der gennem de eksisterende funktionaliteter i en hjemmeside eller i et program kan give adgang til mere, end det var tiltænkt. Denne form for test er dybdegående metodisk og kræver individuel opsætning samt analyse.

At etablere og foretage penetrationstests forudsætter en betydelig mængde specialviden og ekspertise, der kan være vanskelig at etablere for små og mellemstore virksomheder.

Kvasir tilbyder følgende typer penetrationstests:

  • Web-penetrationstest: Simulering af et hackerangreb på en webapplikation designet til at demonstrere sikkerhedsdefekter og identificere fejl og mangler, der kan tillade uautoriseret adgang og/eller uautoriserede transaktioner.
  • Applikations-penetrationstest: Gennemgang af applikationens funktionalitet for at bestemme sårbarheder ved at simulere et hackerangreb og gennemgang af applikationens konfigurationer for at bestemme svagheder.
  • Go-live trygheds – penetrationstest: Penetrationstest af systemet inden det tages i brug til at bestemme, om systemet har sårbarheder, der kan udnyttes. Dette vil være en variation af web- og applikations- penetrations tests alt efter systemet.

Afrapportering

I forbindelse med alle penetrationstests bliver der efterfølgende udarbejdet en solid rapport, der ikke kun beskriver de identificerede sårbarheder men også beskriver, hvordan den bagvedliggende kode og konfiguration kan tilpasses for at mitigere dem.

Vores tilgang kan summeres som:

  • Etablering af scope og angrebsprofil
  • Determining og skanning af systemer og adgangspunkter
  • Overfladisk manuel penetrationstest for at determinere etablerede adgangspunkter
  • Automatisk penetrationstest for at afdække store områder og sikre komplethed
  • Manuel penetrationstest for at verificere findings og etablere eventuelle nye skanninger baseret på findings
  • Rapporterings af findings inklusive beskrivelse af sårbarheder
  • Angrebsvektor for sårbarheder – til både forståelse, verifikation samt gentest
  • Udarbejdelse af remedies til identificerede sårbarheder