Redteam vs. Penetrasjonstest

Vi ønsker med dette å forklare forskjellen på de ulike testene, og når vi mener de forskjellige skal brukes. De ulike testene har alle sine styrker og svakheter, men de er alle nødvendige for å teste ulike deler av sikkerheten, samt nødvendig for å avdekke virksomhetens sårbarheter. Senere i artikkelen beskriver vi de forskjellige testmetodene, styrker og svakheter, når de bør brukes og hva man oppnår med disse.

Men først: Hvorfor er det så viktig å gjennomføre inntrengingstesting?
I et stadig mer komplekst IT-miljø, med sky- og hybridløsninger, mange forskjellige enheter og plattformer, spiller sikkerhetstesting en enda større rolle i arbeidet med å avdekke sårbarheter. Det har blitt vanskeligere for IT-avdelingen å kjenne til alle aspekter av miljøet, og mange opplever å ikke lengre føle kontroll. I den forbindelse kan tjenester som sårbarhetsskanning, penetrasjonstesting og «redteam»-øvelser spille en viktig rolle. For hensikten er å teste forskjellige deler av sikkerhetsarbeidet, og få kontroll over de sårbarhetene man har i sitt miljø, slik at man prioritere sikkerhetsarbeidet riktig. Og på den måten vil man kunne ta tilbake litt av kontrollen. NSM sier følgende om hvorfor man skal gjennomføre inntrengings-testing i sin veiledning; Grunnprinsipper for IKT sikkerhet: «I et komplekst miljø hvor teknologien konstant utvikler seg og nye angrepsmetoder stadig dukker opp bør virksomheter jevnlig teste egen forsvarsevne for å identifisere mangler og vurdere egen beredskap.»

Hva er sårbarhetsskanning?
Sårbarhetsskanning er bruk av en applikasjon for å avdekke enklere overflate sårbarheter i et nettverk eller mot et gitt antall adresser. Sårbarhetsskanning fungerer godt der man skal avdekke enklere sårbarheter på mange maskiner automatisk og til faste tider. Det fungerer godt til å finne de groveste sårbarhetene og brukes gjerne i forbindelse med kontinuerlig sårbarhetsadministrasjon internt og eksternt i et nettverk. Sårbarhetsskanning er forholdsvis enkelt å gjennomføre for de fleste, hvor man bare bestemmer hvilke adresser og systemer som skal testes. Beskrivelsen av funn blir automatisk generert og varslet, og løsningen gjør ingen avanserte vurderinger av funn, eller validerer om funnene faktisk er reelle eller falske positiver. Men rapporteringen gir et godt overblikk av den teknologiske statusen og hvilke enheter som finnes i nettverket. Vi gjennomfører faste sårbarhetsskanninger og sårbarhetsadministrasjon for mange av våre kunder, og det fungerer som en baseline for å fjerne de enkleste og mest opplagte sårbarhetene.
Alle virksomheter bør jobbe med sårbarhetsadministrasjon; avdekke og håndtere sårbarheter. Sårbarhetsskanningen internt og ekstern bør for de fleste gjennomføres minst en gang i kvartalet. Har man ikke evnen til følge opp dette internt bør man benytte seg av en tredjepart som kan levere hele prosessen.

Hva er en penetrasjonstest?
Penetrasjonstesting / inntrengingstesting skal ikke forveksles med et automatisk sårbarhetsskann som tidligere beskrevet. En penetrasjonstest vil typisk ta for seg et eller flere spesifikke områder av sikkerheten f.eks. nettverkets utside, «brannmur», ansatte, nettverk innside, trådløsnettverk, en klient- eller en web-applikasjon. Hensikten med en penetrasjonstest er å avdekke alle sårbarheter knyttet til det området man skal teste. Man tar ikke hensyn til om man blir oppdaget, og testingen vil forsøke etter beste evne å finne alle reelle sårbarheter som kan utnyttes for å trenge gjennom sikkerheten. Målet er ikke bare å finne en sårbarhet og få tilgang, men avdekke alle eksisterende og potensielle sårbarheter som kan utnyttes mot det angitte målet. En annen stor forskjell fra sårbarhetsskanning er at mesteparten av testingen er manuell, og det vil bli gjennomført omfattende informasjonsinnsamling og vil i mye større grad avdekke designsvakheter og logiske sårbarheter ved å knytte sammen sårbarheter og all informasjonen tilegnet i forbindelse med oppdraget.
En penetrasjonstest-rapport skal inneholde store deler av informasjonen som blir innsamlet, en administrativ oppsummering og beskrivelse av alle sårbarheter avdekket sammen med utbedringsforslag. En penetrasjonstest strekker seg normalt over en til to uker, men omfanget og perioden tilpasses ofte kundens behov og vil derfor ofte passe både større og mindre selskaper. NSM anbefaler bør man minst teste utside og innside repeterende årlig eller etter større endringer.

Hva er en «Redteam»-øvelse?
En redteam-øvelse er noe helt annet en både sårbarhetsskanning og penetrasjonstesting.

Denne øvelsen passer for de som har et ganske godt utviklet sikkerhetsarbeid, føler de har kontroll over både interne og eksterne sårbarheter. Og ønsker å teste om en potensiell angriper klarer å nå et spesifisert mål. En redteam-øvelse skal simulere et angrep fra en avansert trusselaktør, og vi vil i en redteam-øvelse bruke alle virkemidler for å nå målet vi er satt til å teste. Det vil si alt fra sosial manipulering over e-post, sosiale medier, telefon og fysisk oppmøte, til direkte angrep og bruk av fiendtlig kode. Vi som angripere ønsker å opptre stille, skape minst mulig oppmerksomhet og forhåpentlig nå målet uten at dere som beskyttere oppdager dette. En redteam-øvelse handler mer om å teste ut sin beredskap, om man klarer å oppdage innbruddet, og hvordan dette blir håndtert av beredskapsgruppen. Hvor raskt og godt man oppdager innbruddet, hvordan det blir håndtert underveis og hva man lærer av hendelsen. Her er man på jakt etter å avdekke sårbarheter i hendelseshåndtering, beredskap og rutiner, men man vil også samtidig få dokumentert eventuelle svakheter man har benyttet i forbindelse med innbruddet.
En redteam-øvelse strekker seg ofte over en lengre periode enn en penetrasjonstest. Hensikten er å gjennomføre et angrep uten å bli oppdaget. Dette er mer tidkrevende, samtidig som angrepene er mer avansert og krever flere tilpasninger underveis. En normal redteam-øvelse strekker seg gjerne over tre til fire uker. En redteam-øvelse er nærmere en beredskapsøvelse og hyppigheten er mer varierende ut fra selskapets modenhet og bransje, men vi anbefaler for de fleste å gjennomføre øvelsen regelmessig, men ikke sjeldnere enn annethvert år.