Hver tjeneste som er i forbindelse med nettet har behov for å bli testet for sårbarheter, for å undersøke at de kan benyttes i miljøet ditt og for å vite hvilke reelle risikoer disser sårbarhetene innebærer.
Sårbarhetstest
Sårbarhetstest blir ofte forvekslet med penetreringstesting, men det er en veldig forskjellig test.
Sårbarhetstest utføres oftest med en programvare som for eksempel Nessus eller OpenVas, som kan skanne en IP-adresse eller et utvalg av IP-adresser for kjente sårbarheter. Programvaren kan for eksempel ha signaturen til Heartbleed-bug-en eller manglende Apache-webserveroppdateringer og du vil få en advarsel hvis disse sårbarhetene finnes. Resultatet er en liste over sårbarhetene som finnes, som vil gi deg et inntrykk av hvor alvorlige sårbarhetene er og hvilke tiltak som kan utføres for å lukke hullene.
Det er også viktig å legge merke til at disse skannerne bare forholder seg til kjente sårbarheter, det vil si de truslene som allerede er kjent blant programvareleverandører, hackere og IT-sikkerhetsteknikere. Men husk også at trusler endrer seg hele tiden, og skannere vil derfor ikke finne dem.
Penetreringstest
Det finnes mange såkalte penetreringstester som bare kjører en sårbarhetsskanning, finpusser rapporten litt og deretter kaller det en penetreringstest. Men det er ikke en virkelig penetreringstest. En dyktig penetreringstester tar resultatene fra en sårbarhetsskanning og så går de i gang med å undersøke hva som virkelig kan penetreres.
La oss for eksempel si at et nettsted er sårbart for Heartbleed. Det finnes mange nettsteder som fremdeles er det. Deretter er det én ting å avgjøre at du er sårbar for Heartbleed, men det er en helt annen ting å benytte bug-en for å finne problemets omfang og finne ut nøyaktig hvilken informasjon som egentlig kan uthentes, hvis informasjonen virkelig ble brukt.
I likhet med en sårbarhetsskanning, vil resultatene ofte bli rangert etter alvorlighetsgrad og den vil komme med anbefalinger for mottiltak. Penetreringstester kan utføres med automatiserte verktøy, men erfarne testere skriver deres egen kode fra bunnen av.
Hvis du vil være blant de beste penetreringstesterne kan du se på EC-Council Licensed Penetration Tester (LPT) Master.
Risikoanalyse
En risikoanalyse krever ingen skanneverktøy eller programmer. Dette er en disiplin som analyserer en spesifikk sårbarhet og vurderer finansielle, omdømmemessige, forretningsmessige og juridiske konsekvenser for bedriften hvis sårbarheten ble utnyttet.
Analytikeren undersøker først den sårbare serveren og beskriver hvor den befinner seg på nettverket og hvilke data den oppbevarer. En server på et internt nettverk som ikke oppbevarer data, som er sårbar ovenfor Heartbleed, har en helt annen risikoprofil enn en webserver for kunder, som oppbevarer kredittkortdata og som også er sårbar ovenfor Heartbleed. Deretter undersøker analytikeren hvilke trusler som kan utnytte sårbarheten og fremstille et utvalg av motivasjoner og målsetninger. Til sist blir påvirkningen for bedriften vurdert – Det vil si: hvilke uheldige følger vil det ha for bedriften, hvis kredittkortdata falt i feil hender ved hjelp av Heartbleed?
Den ferdige risikoanalysen vil ha en risikovurdering og en anbefaling om forebebyggende tiltak, som man deretter kan velge å implementere.
Finn ut mer om risikoanalyse på EC-Council ECIH eller kurs- og sertifiseringsprogrammet til ISACA CISM.
Alle 3 konsepter som beskrives her i bloggen kan brukes sammen, men det er viktig å vite forskjellen mellom dem for å bruke verktøyene på rett måte.
Hvis du vil vite mer om forskjellige IT-sikkerhetstiltak, så er du sikkert interessert i IT-sikkerhetkursene og -sertifiseringsprogrammene her.
Få ubegrenset tilgang til ALLE LIVE instruktørledede sikkerhetskurs du ønsker - alt for prisen av mindre enn ett kurs.