Cybersikkerhet må utvikles utover reaktiv håndtering
brudd og pivotering for å beskytte en organisasjons data i ettertid. Uten
riktige forholdsregler kan nettkriminelle fra hele verden enkelt ta
fordel av sårbarheter i en bedrifts webapplikasjoner, mobil
applikasjoner, APIer og mer. Penetrasjonstesting, også kjent som pennetesting,
er en metode for cybersikkerhet der en ekspert spiller rollen som en ondsinnet
aktør for å avsløre hullene og feilene i en sikkerhetsinfrastruktur eller
kodebase.
Penntesting er først og fremst tilrettelagt av dedikerte pennetestere - noen
ansatt internt og andre eksternt gjennom byrå eller frilanstjeneste.
Mine seks år på Cobalt har lært meg nye, unike og skjulte beste praksiser.
Det er mitt pågående oppdrag og forpliktelse å spre min kunnskap og leksjoner med andre sikkerhetsledere for å forbedre organisasjoners beskyttelsesinnsats.
Hva er målet med pennetesting?
Enkelt sagt, Penetrasjonstesting Er når
en dedikert gruppe cybersikkerhetseksperter simulerer forskjellige
cyberangrep på en applikasjon eller et nettverk for å teste for potensial
sårbarheter. Målet er å forbedre sikkerhetsstillingen til en organisasjon
og oppdage lett utnyttbare sårbarheter i et sikkerhetssystem slik at
selskapet kan proaktivt fikse dem. Bugs er nødt til å oppstå, men være oppmerksom på
hvor sårbarhetene ligger kan polere produktet ditt og stramme opp sikkerheten din.
Mens mange selskaper investerer tungt i å bygge opp sin infrastruktur, er det
de fleste trinnene som trengs for å beskytte investeringer skjer etter utplassering. Altså selskaper
sitter igjen med en reaktiv respons på plass, som adresserer brudd og angrep på
nettverket deres når det er for sent. Gitt det faktum at cyberattacks har
potensial til å rippe både internt og eksternt, må ledere ta en
proaktiv tilnærming til cybersikkerhet, utvikling av klare svar på
squash innkommende trusler etter hvert som de dukker opp.
Fordelene ved penntesting kommer i rampelyset én gang
organisasjoner anerkjenner syklusen av ødeleggelse forårsaket av nettangrep. Dette
syklusen innebærer mer enn dataene som potensielt blir stjålet. Det innebærer tiden ikke
bare for å løse den første sårbarheten, men for å gjenopprette og sikre data
som potensielt kan ha blitt stjålet. Unødvendig tid og ressurser brukes
rydde opp i rotet, i stedet for å utvikle ny kode. En syklus utvikler seg der
en organisasjon lanserer ny kode i nettverket sitt, en uforutsett
sårbarhet dukker opp, og teamet må prøve seg på å fikse problemet før det
vokser seg enda større. Ved å ta de nødvendige skritt før den nye koden går inn
produksjon, kan bedrifter fjerne seg fra denne onde sirkelen av
ødeleggelse.
I følge Cobalts "State of Pentesting-rapport 2021", penntesting
kan være en tidkrevende oppgave. Faktisk sa 55 % av organisasjonene at det tar uker
for å få planlagt en pennetest, og 22 % sier at det tar måneder. Moderne penntesting
praksis bruker både automatiserte verktøy og dyktige manuelle testere for å sikre maksimalt
sikkerhet på en effektiv og tidsriktig måte. Hold deg smidig i din
organisasjonens cybersikkerhetspraksis vil bidra til å redusere tiden
det tar å planlegge de riktige forholdsreglene.
Hva er de ytre fordelene?
Penntesting har fordeler utenom bare sårbarhet
identifikasjon. Kode er ofte avhengig av annen kode, så hyppig penntesting
gjør det mulig for ny kode å bli testet før den distribueres i live-bygget
effektivisere utviklingsprosessen og senke utviklingskostnadene. Hyppig
pennetesting gir også mer rettidige resultater, slik at teamene kan være klare
for nye trusler — sammenlignet med standard årlig pennetest, hvor
utviklere vil ikke være klar over sårbarheter på flere måneder.
I 2021, mange
sikkerhetspersonell måtte raskt svare på Log4j trussel, men de
som ofte ble testet med penner var forberedt på å lappe det utnyttbare
sårbarheter det forårsaket. På grunn av innsikten disse utviklerne fikk fra
tidligere pennetester vil fremtidig kode bli sikrere, og ingeniører vil
lære av feil når du utvikler fremtidige versjoner av produktene deres. Jo mer
ofte skjer disse pennetestene, jo mer kompatible produktene og koden dine
bli til.
Når du skal planlegge en pennetest
Den beste tiden å planlegge en pennetest er – selvfølgelig –
før et angrep inntreffer. Selv om vi ikke kan forutsi nøyaktig når et brudd vil
komme, holde seg proaktiv og regelmessig testing og retesting av sårbarheter kan
redde selskapet fra et ondsinnet nettangrep. Organisasjoner kan bruke penntesting
å forberede nye produkter, oppdateringer og verktøy for kunde- eller ansattebruk, alt sammen
samtidig som du forblir kompatibel og sikker. Men for at disse produktene skal gå trygt inn
hendene til den tiltenkte målgruppen, de må testes.
Proaktivitet starter med intern evaluering hvor
Det finnes allerede sårbarheter i et sikkerhetssystem. Hvis det oppdages tidlig,
disse sårbarhetene kan håndteres før de tar et eget liv
— til slutt redde selskapets omdømme. Legg merke til alle eiendelene
teamet ditt har (nettsider, servere, live-kode, etc.), og sett en klar plan for
eksponeringsdeteksjon. Når teamet ditt er klart på den fremtidige strategien og
praksis, kan pennetestere begynne å identifisere og avsløre
sårbarheter som kan være i bedriftens ressurser. Når testen er
konkludert, kan utviklere begynne å utbedre alle oppdagede sårbarheter.
Det viktige her er at disse testene ikke skal utføres
på en-og-gjort-basis. Pennetester må utføres regelmessig for å sikre
sikkerhet forblir oppdatert med moderne bruddmetoder. Cybersikkerhet
endres (og blir mer kompleks) hver dag, og tvinger organisasjoner til å være klare
for det som kommer med et øyeblikks varsel.
