Hvordan lykkes med sikkerhets- & penetrasjonstesting

Behovet for sikkerhetstesting er udiskutabelt. Vi har stadig alvorlige sikkerhetshendelser i Norge, både de vi leser om i aviser, men også alle de hendelsene som ikke når media. Vi som har jobbet i sikkerhetsbransjen noen år kjenner alle til virksomheter som har hatt hendelser, men som aldri gikk ut med dette. Bare for å understreke behovet for testing så kan man jo enkelt bare nevne sakene Hydro, Visma og Statens Kartverk som noen av de som har vært nevnt. Men i tillegg kjenner man til at sykehus, kommuner, Politiet, med mange flere har hatt hendelser.

Hvorfor er Penetrasjonstesting så viktig?
Vi skrev en artikkel om nettopp dette i 2019 som du kan lese her. Men kort fortalt så handler dette om at alle bedrifter har sårbarheter, og ganske mange bedrifter har ganske «dumme» sårbarheter. Det vil si sårbarheter som det er enkelt å oppdage, enkelt å fikse, men som de ikke fikser, fordi de ikke tester sikkerheten.

Topp 3 «dumme» sårbarheter som blir utnyttet hver dag i Norge:

1. Manglende patching og oppdatering av operativsystemer.
2. Svake, gamle eller standard passord.
3. Manglende to-faktor autentisering.

Først må man forstå at sikkerhetstesting er en kontinuerlig prosess og ikke en enkel test. Det må etableres krav til sikkerhetstestingen, både i forhold til hyppighet, omfang og mål med testingen. Kravene og målene man definerer bør settes på bakgrunn av virksomhetens risiko og bør forankres i virksomhetens styringssystemer (sikkerhetspolitikk). Når det gjelder sikkerhetstesting & penetrasjonstesting så er det mange forskjellige typer tester man kan få utført, alt fra beredskapsøvelser med Red-team, direkte angrep med penetrasjonstesting, eller enklere varianter av sårbarhetsskanning. Alle disse forskjellige variantene kan også brytes ned til mindre deler, men siden artikkelen heter «Hvordan lykkes med sikkerhetstesting & penetrasjonstesting vil jeg legge fokus på følgende.

Planlegg testingen
Sikkerhet og sikkerhetstesting bør integreres som en løpende prosess ikke som en engangshendelse. Dette gjelder spesielt ved utvikling av applikasjoner og systemer, men det er også relevant for de fleste større endringer, både hos personell, fysiske endringer og selvfølgelig systemendringer. Viktige nøkkel ord å ha med i planleggingen er - HVA, HVEM, HVORDAN & NÅR. Disse nøkkelordene kan ganske enkelte brukes som huskeord når vi skal planlegge sikkerhetstestingen.

HVA – Hva skal vi teste? Applikasjoner, nettverk, menneskene eller den fysiske sikkerheten.

HVEM – Hvem skal utføre testingen? Det logiske er å bruke noen eksterne, og kanskje ikke samme hver gang.

HVORDAN - Hvordan skal vi teste? Skal vi teste beredskapen med et Red-team, skal vi gjøre en kombinasjon av årlig penetrasjonstesting og kvartalsvis sårbarhetsskanning.

NÅR – Når skal vi teste? Hvor ofte kreves det testing av de forskjellige løsningene? Etter store endringer, før produksjon, årlig og/eller kontinuerlig.

Bruk riktig kompetanse
Profesjonelle kan bistå med riktig planlegging og styring av sikkerhetstestingen. Det er viktig å finne riktig nivå av testing, ingen virksomheter er like eller har samme risiko. Man kan sammen lage en plan for hvordan etablere testing som en del av styringssystemet, hvordan etablere rapportering og vurdering av risiko mot ledelse, hvordan jobbe kontinuerlig med testing for å hele tiden ta nye skritt mot å bli sikrere.

Vi sier ofte: De skjønner ikke alvoret før etter de har hatt innbrudd. Tror du alle bedriftene som har hatt et Hacker angrep eller CryptoVirus angret på at de ikke gjorde sikkerhetstesting i forkant av angrepet, slik at skaden potensielt aldri hadde skjedd ?

Derfor sier vi – Test sikkerheten før noen andre gjør det.