• en
  • sv
  • Penetrationstest / Pen testing – en förebyggande säkerhetsmetod

    Penetrationstest, eller pen test som det också kallas, är ett samlingsnamn på en rad sätt att leta efter luckor och sårbarheter i ett datorsystem. I ett penetrationstest försöker man medvetet upptäcka brister i nätverk och i applikationer som en illasinnad angripare (hacker) skulle kunna utnyttja för att till exempel stjäla värdefull information eller organisera en överbelastningsattack.

    Ett penetrationstest är en viktig del av ett proaktivt säkerhetsarbete och vi rekommenderar företag att utföra dem med jämna mellanrum. Företag som inte har IT som sin kärnverksamhet bör alltid anlita en tredje part för att genomföra ett penetrationstest. Detta för att säkerställa att det utförs på rätt sätt och att alla eventuella säkerhetsluckor kan upptäckas och åtgärdas.

    När vi genomför ett penetrationstest på ert företag testar vi nätverk, programvara, hårdvara och eventuella IoT-enheter (som till exempel uppkopplade kameror). Vi använder oss av flera olika tekniker för att på bästa sätt kunna upptäcka sårbarheter eller luckor i ert system. Slutligen sammanställer vi en rapport med upptäckta brister och förslag på hur företaget bäst åtgärdar dem.

     

    Kontakta oss

    Scenario-baserade penetrationstest

    I ett scenario-baserat penetrationstest försöker testarna tillsammans med personalen att så långt det är möjligt efterlikna tänkbara, och även mindre troliga, attacker mot företagets system. Tanken med ett scenario-baserat pen test är att personalen på företaget ska öva sig i och få kännedom om hur de själva reagerar vid en attack och vad de vidtar för åtgärder.

    Vid ett scenario-baserat penetrationstest kommer vi tillsammans med personalen på företaget upp med ett flertal scenarion för hur en attack skulle kunna gå till. De övande blir utsatta för ett flertal händelser och ska i realtid agera genom att följa det säkerhetsprotokoll som finns för dylika situationer. Detta kan inbegripa att larma om en attack, och/eller att samverka med kollegor eller externa aktörer för att komma tillrätta med problemen. Ett scenario-baserat penetrationstest är ett mycket bra sätt att förbereda personalen och företaget inför skarpt läge.

    Skräddarsydda intrångstester för ditt företag

    På 2secure erbjuder vi skräddarsydda tester av säkerheten hos era datasystem. I samråd med er planerar vi en serie tester designade utifrån ert företag och er verksamhet. Alla företag har olika behov av IT-säkerhet, och det är viktigt att penetrationstesten och de scenario-baserade övningarna blir genomförda utifrån era förutsättningar och behov, samt inte minst personalens kompetens.

    Med ett korrekt anpassat och genomfört pen test får vi en realistisk uppfattning om befintliga risker. Därefter tar vi fram en rapport där vi beskriver de utmaningar som finns och hur ni bäst bemöter dem. Har ni egen IT-personal kan vi sedan vidarebefordra informationen till dem, eller hjälpa er att implementera rekommenderade åtgärder.

    Utvecklingen av pen testing historiskt

    Penetrationstester av datasystem har förekommit sedan 70-talet, då det amerikanska flygvapnet gav datasäkerhetspionjären James P Anderson i uppdrag att utreda vilka hot som skulle kunna uppstå mot Pentagons säkerhetssystem. Han kom då upp med ett system för att säkerhetstesta nätverk som i princip ser ungefär likadant ut idag: Att hitta en säkerhetslucka, planera en attack mot den, testa attacken och utföra den.

    På 90-talet blev administratörsverktyget SATAN (Security Administration Tool for Analyzing Networks) mycket populärt. Detta verktyg lät användare genomföra attacker mot sitt eget nätverk utifrån ungefär tjugo givna förutsättningar. Därefter skapade man en rapport med de upptäckta felen och förslag på åtgärder.

    Med tiden har nätverken blivit alltmer sofistikerade och tekniken för pen testing likaså. Numera finns en uppsjö olika varianter som används beroende på vad som ska testas och hur systemen ser ut. Det gäller alltså att den som testar ditt företags system vet vilka verktyg och tekniker han ska använda sig av för att få en realistisk bild av säkerhetshoten mot era system.