Hvorfor få en penetrationstest?
Penetrationstest, også kaldet Pentest, er en overbygning på den sårbarhedsscanning som indgår som en del af Pentest, men her er det ofte virksomheder med behov for et højt sikkerheds- og complianceniveau. Ligesom med behovet for sårbarhedsscan, så gælder det at uanset om det er nye tilføjelser, implementeringer på netværket og de daglige konfigurationsændringer eller andre lignende faktorer, så medfører dette potentielt hele tiden nye kritiske sårbarheder i virksomhedens netværk og web-miljø.
Den såkaldte angrebsflade vil altså kunne udnyttes til ondsindede handlinger, som kan forvolde stor skade på virksomhedens data, netværk og website – og dermed påføre seriøse økonomiske konsekvenser.
Definition
Pentest, er en såkaldt etisk It-sikkerhedstest i flere niveauer af netværk og/eller websites og -applikationer. En Pentest kombinerer dels brug af sårbarhedsværktøjer, samt en række forskellige, manuelt udførte sikkerhedstests som er målrettede og virksomhedstilpassede.
Formålet med dette er, at virksomheden får testet sin robusthed af kontroller og sikkerhedsbrister, som potentielt kan udnyttes til at skade eller afpresse virksomheden i forhold til eksempel drift, kritiske data, produktionssystemer og lignende, som kan koste virksomheden dyrt. Dette foregår altid kun mod aftalte systemer eller indenfor virksomhedens netværk og applikationer.
Metodik
Peventios konsulenter bruger grundlæggende nogle af de samme processer, værktøjer og teknikker, som de en hacker vil bruge til at skade virksomheden. Ud over individuelle manuelle teknikker, benytter Peventio sig af branchens mest anerkendte og veldokumenterede standarder, herunder ”Penetration Testing Execution” (PTES) og Open Web Application Security Project (OWASP). Disse rammeværktøjer indeholder både forskellige typer af sårbarhedscanninger, og kan kombineres med manuel metodik, check og metoder.
Pentest rapport
Som beskrevet består en Pentest af flere elementer, og er altid en kundetilpasset opgave, både i forhold til hvad der skal testes, og ikke mindst hvad de strategiske og operationelle formål er. En Pentest udformes normalt således, at den kan danne en væsentlig del af grundlaget for det videre arbejde. Det kan til eksempel være prioriteringer af hvordan virksomheden styrker sin IT-sikkerhedsmæssige robusthed og sit modenhedsniveau på kort og lang sigt. Udover selve IT-sikkerheden, kan en Pentest ligeledes danne grundlag for det videre arbejde med IT-sikkerhedspolitikker, beredskab, auditering og øvrig overholdelse af politikker (compliance) og regulativer såsom CIS-kontroller, ISO, PCI, DSS, HIIPAA og GDPR.
Helt eller delvist
Sårbarhedsscanning kan leveres som en hel eller delvis service og ydelse fra Peventio. Det kan ske i samarbejdet virksomhedens forhandler eller egen It-afdeling.