Säkerhetsgranskningar och penetrationstester

Säkerhetsgranskningar

En säkerhetsgranskning är en granskning för att testa din organisations motståndskraft genom att upptäcka eventuella sårbarheter. I en säkerhetsgranskning ingår också att föreslå säkerhetshöjande åtgärder. En säkerhetsgranskning består av en eller flera olika delar: Alltifrån tekniskt inriktade penetrationstester till intervjuer. 

Penetrationstester

För att verifiera hur sårbar er IT-miljö är mot hackerattacker, så behöver ni testa den ur en hackares perspektiv. En penetrationstest är en kontrollerad attack som genomförs på ett liknande sätt som illasinnade aktörer skulle kunna utföra. Detta kan ge en uppfattning om hur motståndskraftig din IT-miljö är.

För att ett penetrationstest skall vara meningsfullt så behöver ni känna att en grundläggande skyddsnivå är uppfylld. Detta inkluderar till exempel:

Uppdaterade system, härdade behörigheter och segmenterade nätverk.

Efter avslutad penetrationstest och rapportering, sker ofta en återtest, där testaren kontrollerar att relevanta sårbarheter åtgärdats.

Skillnad mellan sårbarhetsskanning och penetrationstest?

En sårbarhetsskanning kan visa de uppenbara och synliga säkerhetshålen, penetrationstester gräver djupare i exponerade tjänster. Det är därför inte meningsfullt att köra en penetrationstest om det redan är uppenbart att den grundläggande nivån har stora luckor och problem. En penetrationstest körs i regel inte över en hel organisation regelbundet, utan mer som en riktad insats. Det kan t.ex. vara en ny tjänst som ska sättas i produktion, en avdelnings utvecklingsmiljö, specifika tjänster eller ett utvalt antal servrar. 

Sårbarhetsskanning körs automatiserat och månadsvis över stora delar av verksamhetens exponerade system. Dessa tester undviker generellt att pröva invasiva och potentiellt störande anrop på tjänsterna. En sårbarhetsskanning förlitar sig på den information som tjänsten visar när den svarar normalt (banners och response).  Autentiserade sårbarhetsskanningar kan visserligen hitta ytterligare sårbarheter om den är inloggad via AD eller ett SSH-konto.

Sårbarhetsskanning erbjuds till alla SUNET-kunder i basutbudet av tjänster utan extra kostnad. Om ni vill ha mer information om sårbarhetsskanningar kan ni kontakta Maria Edblom Tauson, tauson@sunet.se.

Sunets penetrationstester

Vad ingår i Sunets penetrationstester?

  • Test av tjänster, IP-nummer eller hårdvara.
  • Rapport med rekommenderade åtgärder.
  • Återtester efter vidtagna åtgärder.

Vad behöver ni som beställare bistå med?

För att utförandet skall vara så korrekt och effektivt som möjligt behöver ni ha relativt god ordning på er miljö, samt vara behörig beställare eller i samarbete med system/informationsägare:

  • tillgänglig personal (som stand by om någon tjänst slutar fungera).
  • vilka IP-nummer, tjänster eller hårdvara som ska ingå i penetrationstesten.
  • vilka IP-nummer, tjänster eller hårdvara som ska undantas (om några).
  • vilka tidsperioder som testerna får köras.
  • eventuell åtkomst i brandväggar eller VPN-konto för att nå tjänsterna.
  • eventuella andra avgränsningar och begränsningar

Resultat

Ni kommer att efter avslutad penetrationstest få en rapport med resultat och rekommenderade åtgärder. Om ni vill tar vi också ett gemensamt online-samtal kring rapporten. 

Kostnader för penetrationstest

Varje uppdrag bestäms tillsammans med kund, kostnaden beror på hur stora personalresurser och eventuella resekostnader som ingår. Sunet fakturerar för faktiska kostnader plus administrativ hantering. Exempelvis kan en webbtjänst som verifieras under några dagar med tillhörande rapport och uppföljande samtal kosta 50 000 kr. En efterkontroll bestäms i samverkan med kund då de kan variera i omfattning. ←- Summan????

Timkostnad? Hur mycket för testen (pentest + omtest)? Hur mycket för kringjobbet (rapport, samtal, uppföljning)

Andra typer av granskningar och säkerhetshöjande aktiviteter som SUNET kan erbjuda som extrabeställning:

  • Krisövningar: Table top-övningar för att öva IT-säkerhetskriser tillsammans med er IT-avdelning. En typ av krisövning är att Sunet bistår med övningsledare och övningsscenario, följt av en rapport med rekommenderade åtgärder. Övningar kan utföras på plats, eller online, även tillsammans med andra organisationer.
  • Audit och granskning: En organisations säkerhetsmognad kan granskas utifrån SIM3 eller Infosäkkollen eller från ramverk så som ISO27002. Vi genomför granskning genom samtal och verifiering av dokumenterade processer.
  • Whitebook testning: Tillsammans med systemadministratör går vi igenom best practise för infrastruktur, redundans, loggning, behörigheter, härdning m.m. utifrån givna förutsättningar. Exempel att granskas utifrån är CIS18 och MSB FS 2020:7. Dessa kan ske genom samtal och uppskattning eller faktiska verifieringar om så lämpligt.
  • Red teaming och aktivt simulerade angrepp: Vi erhåller då ett faktiskt konto (vanlig nyanställd utan några speciella rättigheter) och inventerar svagheter från insidan. Att arbeta i skepnad av en anställd kan vara fördelaktigt för att finna sårbarheter som annars inte är exponerade.
    Vi kan också utföra phishing kampanjer eller testa er säkerhetskultur genom samtal och frågor i olika former.

SUNET säkerhetscenter kan hjälpa till med en sådan evaluering enligt ovan. Vi söker också anslutna organisationer att samverka med för att bygga upp en gemensam förmåga inom sektorn. För mer information för tjänsterna ovan kontakta David Heed david@sunet.se


  • No labels