Prova gratis Begär offert Kontakta mig
26november
Sårbarhetsanalyser & penetrationstester – så kombinerar du
Vad är vad och hur kan dessa två metoder fungera tillsammans för bästa möjliga resultat. Holm Security reder ut begreppen. Sårbarhetsanalyser och penetrationstester är båda mycket viktiga inslag för att upprätthålla en hög IT-säkerhet i din organisation. Men när ska du göra vad och vad skiljer de olika metoderna åt och vilka fördelar har dem? Det är inte lätt att hålla isär begreppen och veta vad som bör göras och när.
Av: Jonas Lejon Ämnen: Penetrationstestning, Sårbarhetsanalyser

Varefter digitaliseringen breder ut sig växer våra IT-miljöer och blir mer och mer komplexa. Parallellt så ökar exponeringen för olika typer av sårbarheter. För att upptäcka och åtgärda dessa innan någon illasinnad hinner utnyttja dem, krävs regelbundna kontroller och tester. Två metoder som på olika sätt tjänar viktiga funktioner för att skydda en nätverksmiljö är sårbarhetsanalyser och penetrationstester.

Sårbarhetsanalyser

Sårbarhetsanalyser, eller sårbarhetsskanningar, är automatiserade analyser som identifierar och klassificerar sårbarheter i servrar, datorer, nätverk och applikationer. Detta sker genom att matcha olika system mot kända brister. Vanligast med sårbarhetsanalyser är att hitta system som saknar uppdateringar, eller så kallade patchar. I en liten IT-miljö kan det tyckas tämligen enkelt att säkerställa att alla system är uppdaterade, men i större miljöer med hundratals, eller tusentals system, är det betydligt svårare. En fördel med en sårbarhetsanalys är att den görs helt objektivt och utan preferenser.

Vanligtvis pratar man om två lika nivåer av sårbarhetsanalyser:

  • Oautentiserade skanningar
  • Autentiserade skanningar

I vanliga fall så brukar tillämpningen av dessa nivåer ske i två steg. Först oautentiserade skanningar och sedan autentiserade. Anledningen till denna metodik är att det ur ett säkerhetsperspektiv är högre prioriterat att lösa de sårbarheter som kan utnyttjas endast genom extern åtkomst till systemet.

Oautentiserade skanningar

Oautentiserade skanningar innebär att system skannas från internet eller genom lokalt installerade skanners. Ingen inloggning sker med denna metod. Denna typ av skanningar är viktiga eftersom de hittar sårbarheter som t.ex. hackare använder för att ta sig in i ett system.

Skanningar av detta slag ska göras så ofta som möjligt eftersom det på bara någon vecka kommer ut flera hundra nya sårbarheter. Vanlig frekvens är veckovisa skanningar. Men skanningar ska även göras i samband med förändringar och innan nya system driftsätts.

Autentiserade skanningar

Autentiserade skanningar sker genom att skannern får åtkomst till systemet som en privilegierad användare. Det gör att skannern kan få fram djupare information och upptäcka flera hot inifrån, så som svaga lösenord, skadlig programvara, installerade program och konfigurationsproblem. Metoden kan simulera vad en systemanvändare har tillgång till och vilken skada denne skulle kunna åstadkomma.

Penetrationstest

Ett penetrationstest, eller pentest, utförs av en eller flera personer med djup kunskap om IT-säkerhet. Denna typ av person kallas ofta pentestare. En pentestare kommer vanligtvis utifrån organisationen som konsult för att ge en mer objektiv bedömning. Pentestaren använder vanligtvis en rad olika verktyg för att hitta och testa sårbarheter i system och har större anpassningsförmåga än sårbarhetsanalysen som utförs av ett system. Ofta innebär ett första steg i penetrationstestet att göra en sårbarhetsanalys med en skanner.

Penetrationstester utförs normalt inte lika ofta som sårbarhetsanalyser, men bör göras årligen, eller mer ofta. Precis som för sårbarhetsanalyser kan det vid vissa förändringar behövas extra insatser, såsom inför införandet av ett större och känsligt system.

När man anlitar en penetrationstestare är det viktigt att ställa krav på praktisk erfarenhet, erfarenhet från liknande miljöer, förmåga att kunna tänka sig in i angriparens beteende. Det är även viktigt att personen är mycket noggrann och har god kommunikativ förmåga så du som kund får full förståelse för resultatet och nödvändiga åtgärder.

Ett vanligt problem med penetrationstester är att uppföljning och åtgärder blir nedprioriterade organisationen när pentestaren avslutat sitt uppdrag. Det är inte minst därför de löpande och automatiserade sårbarhetsanalyserna är viktiga. De kompletterar och säkerställer ett fortlöpande IT-säkerhetsarbete.

Jämförelse

Här ser du en jämförelse mellan sårbarhetsanalyser och penetrationstester.

Område:
Sårbarhetsanalys:
Penetrationstestning: 
Metod
Utfört automatiserat och kontinuerligt.
Utförs av en IT-säkerhetsspecialist, oftast konsult.
Frekvens
Veckovis eller daglig beroende på hur känsligt systemet är. Ibland görs mindre djupgående skanningar mer frekvent och mer djupgående månadsvis.
En till två gånger om året samt vid betydande förändringar i er IT-miljö.
Rapporter
Ger en heltäckande bild av vilka sårbarheter som finns och hur utvecklingen ser ut sedan senaste rapporten. Rapporter för såväl tekniker som ledning.
Beskriver i detalj vilken information som äventyras och vilka säkerhetsåtgärder som behöver vidtas.
Fokus
Hitta kända sårbarheter som kan utnyttjas.
Upptäcker okända sårbarheter.
MålUpptäcker sårbarheter och hjälper dig åtgärda dessa innan en illasinnad person gör det.Upptäcker sårbarheter och hjälper dig åtgärda dessa innan en illasinnad person gör det.
FördelGer med små medel och till låg kostnad mycket insikt och översikt över sin IT-säkerhet.
En pentestare kan på ett annat sätt än datorer dra slutsatser och göra analyser, samt på ett annat sätt metodiskt arbeta sig framåt.
About the author
Jonas sitter i Holm Securitys advisory board, har jobbat mer än 10 år på FRA och Försvarsmakten. Jonas driver Sveriges största blogg inom IT-säkerhet, kryptera.se.

Jonas Lejon
jonas@triop.se