Cybersikkerhed skal udvikle sig ud over reaktiv håndtering
brud og pivotering for at beskytte en organisations data bagefter. Uden
ordentlige forholdsregler, kan cyberkriminelle fra hele verden nemt tage
fordel af sårbarheder i en virksomheds webapplikationer, mobil
applikationer, API'er og mere. Penetrationstest, også kendt som pen test,
er en metode til cybersikkerhed, hvor en ekspert spiller rollen som en ondsindet
aktør til at afsløre hullerne og fejlene i en sikkerhedsinfrastruktur eller
kodebase.
Pentestning lettes primært af dedikerede pentestere - nogle
ansat internt og andre eksternt gennem et bureau eller freelanceservice.
Mine seks år hos Cobalt har lært mig nye, unikke og skjulte best practices.
Det er min løbende mission og forpligtelse at sprede min viden og min lektioner med andre sikkerhedsledere for at forbedre organisationers beskyttelsesindsats.
Hvad er målet med pentestning?
Kort sagt, penetrationstestning er hvornår
en dedikeret gruppe af cybersikkerhedsprofessionelle simulerer forskellige
cyberangreb på en applikation eller et netværk for at teste for potentiale
sårbarheder. Målet er at forbedre sikkerheden i en organisation
og opdage let udnyttelige sårbarheder i et sikkerhedssystem, så den
virksomheden kan proaktivt rette dem. Bugs er forpligtet til at forekomme, men være opmærksom på
hvor sårbarhederne ligger, kan polere dit produkt og stramme op på din sikkerhed.
Mens mange virksomheder investerer kraftigt i at opbygge deres infrastruktur, er det
størstedelen af de nødvendige skridt til at beskytte investeringer sker efter indsættelse. Således virksomheder
efterlades med en reaktiv reaktion på plads, der adresserer brud og angreb på
deres netværk, når det er for sent. I betragtning af at cyberangreb har den
potentiale til at bølge både internt og eksternt, skal ledere tage en
proaktiv tilgang til cybersikkerhed, udvikling af parat svar på
squash indkommende trusler, som de dukker op.
Fordelene ved pentestning kommer én gang i rampelyset
organisationer anerkender ødelæggelsescyklussen forårsaget af cyberangreb. Det her
cyklus indebærer mere end de data, der potentielt er stjålet. Det involverer tiden ikke
kun for at løse den indledende sårbarhed, men for at gendanne og sikre alle data
der potentielt kunne være blevet stjålet. Der bruges unødvendig tid og ressourcer
rydde op i rodet i stedet for at udvikle ny kode. En cyklus udvikler sig, hvori
en organisation lancerer ny kode i deres netværk, en uforudset
sårbarheden dukker op, og teamet er nødt til at kæmpe for at løse problemet før det
vokser sig endnu større. Ved at tage de nødvendige skridt, før den nye kode går ind
produktion, kan virksomheder fjerne sig fra denne onde cirkel af
ødelæggelse.
Ifølge Cobalts "State of Pentesting-rapport 2021,” pen test
kan være en tidskrævende opgave. Faktisk sagde 55 % af organisationerne, at det tager uger
at få planlagt en pen-test, hvor 22 % siger, at det tager måneder. Moderne pen test
praksis bruger både automatiserede værktøjer og dygtige manuelle testere for at sikre maksimalt
sikkerhed på en effektiv og rettidig måde. Forbliv smidig i din
organisationens cybersikkerhedspraksis vil hjælpe med at skære ned på mængden af tid
det tager at planlægge de rigtige forholdsregler.
Hvad er de eksterne fordele?
Pentest har fordele ud over blot sårbarhed
identifikation. Kode er ofte afhængig af anden kode, så hyppig pentestning
giver mulighed for, at ny kode kan testes, før den implementeres i live-builden, således
strømline udviklingsprocessen og sænke udviklingsomkostningerne. Hyppig
pentest giver også mere rettidige resultater, hvilket gør det muligt for teams at være klar
for nye trusler - sammenlignet med den standard årlige pen-test, hvor
udviklere vil ikke være opmærksomme på sårbarheder i flere måneder i træk.
I 2021, mange
sikkerhedspersonale måtte hurtigt reagere på Log4j trussel, men de
som ofte blev testet med penne, var parate til at lappe det udnyttelige
sårbarheder, det forårsagede. På grund af den indsigt, disse udviklere opnåede fra
tidligere pentests, vil fremtidig kode blive mere sikker, og ingeniører vil
lære af fejl, når de udvikler fremtidige versioner af deres produkter. Jo flere
ofte sker disse pentests, jo mere kompatible dine produkter og kode vil
blive.
Hvornår skal man planlægge en pentest
Det bedste tidspunkt at planlægge en pen-test er – selvfølgelig –
før et angreb indtræffer. Selvom vi ikke kan forudsige præcis, hvornår et brud vil
komme, forblive proaktiv og regelmæssigt teste og genteste sårbarheder kan
redde virksomheden fra et ondskabsfuldt cyberangreb. Organisationer kan bruge pentest
at forberede nye produkter, opdateringer og værktøjer til kunde- eller medarbejderbrug, alt sammen
mens du forbliver kompatibel og sikker. Men for de produkter at gå sikkert ind i
hænderne på det tiltænkte publikum, skal de testes.
Proaktivitet starter med internt at evaluere hvor
Der findes allerede sårbarheder i et sikkerhedssystem. Hvis det opdages tidligt,
disse sårbarheder kan håndteres, før de får deres eget liv
— i sidste ende redde virksomhedens omdømme. Vær opmærksom på alle aktiverne
dit team har (hjemmesider, servere, live-kode osv.), og sæt en klar plan for
eksponeringsdetektion. Når dit team er klar over den fremtidige strategi og
praksis, kan dine pennetestere begynde at identificere og afsløre
sårbarheder, der kan være i din virksomheds ressourcer. Når testen er
konkluderet, kan udviklere begynde at afhjælpe alle opdagede sårbarheder.
Det vigtige her er, at disse tests ikke bør udføres
på en-og-færdig basis. Pentest skal udføres regelmæssigt for at sikre
sikkerhed forbliver opdateret med moderne brudmetoder. Cybersikkerhed
ændres (og bliver mere kompleks) hver dag, hvilket tvinger organisationer til at være klar
for hvad der kommer med et øjebliks varsel.
