Vad är skillnaden mellan sårbarhetsscanning, penetrationstestning och riskanalys?

Varje tjänst som är kopplad till internet har behov av sårbarhetstester, att undersöka om de sårbarheterna kan utnyttjas i din miljö och att ta reda på vilka reella risker de här sårbarheterna medför.

Sårbarhetstest
Sårbarhetstest förväxlas ofta med penetrationstestning, men det är två väldigt olika tester.

Sårbarhetstester utförs ofta med hjälp av en programvara som exempelvis Nessus eller OpenVas, som kan genomsöka en IP-adress eller en rad IP-adresser efter kända sårbarheter. Till exempel kan programvaran upptäcka signaturen för Heartbleed-buggen eller bristande Apache web server patches och utfärda en varning om dessa sårbarheter finns. Resultatet är en lista över de upptäckta sårbarheterna som ger en känsla för de allvarliga sårbarheter som finns och vilka grundläggande åtgärder som kan vidtas för att täppa igen dessa luckor.

Det är viktigt att notera att dessa genomsökningar endast förhåller sig till redan kända sårbarheter, alltså de hot som mjukvaruleverantörer, hackare och yrkesverksamma inom IT-säkerhet redan känner till.

Penetrationstest
Det finns många så kallade penetrationstestare som endast genomför en sårbarhetsscanning, putsar lite på rapporten och sedan kallar det för ett penetrationstest. Men det är inte ett äkta penetrationstest. En duktig penetrationstestare har en sårbarhetsscanning som utgångspunkt och börjar sedan undersöka vad det faktiskt är som kan penetreras.

Låt oss till exempel säga att en hemsida är sårbart för Heartbleed. Det är kontinuerligt fallet för många hemsidor. Men det är en sak att konstatera att det finns en sårbarhet för Heartbleed och en helt annan att använda sig av buggen för att ta reda på problemets omfattning och räkna ut exakt vilken information det egentligen kan finnas tillgänglig som skulle vara av inrresse om sårbarheten skulle utnyttjas.

Precis som med en sårbarhetsscanning rangordnas resultaten ofta efter allvarlighetsgrad och rekommendationer för motåtgärder presenteras. Penetrationstest kan genomföras med hjälp av automatiserade verktyg, men erfarna testare skriver sin egna kod från grunden.

Om du vill kunna ranka dig som en av de bästa penetrationstestarna ska du ta dig en titt på kursen EC-Council Licensed Penetration Tester (LPT) Master.

Riskanalys
En riskanalys kräver inte scanninsverktyg- eller applikationer. Det är en åtgärd som analyserar en specifik sårbarhet och riktar in sig på de ekonomiska, omdömesmässiga, affärsmässiga och juridiska kosekvenserna för verksamheten om denna sårbarhet skulle utnyttjas.

Analytikern undersöker först den sårbara servern och beskriver var på nätverket den befinner sig och vilken data den lagrar. En server på ett intranät som inte lagrar data men som är sårbar för Heartbleed har en helt annan riskprofil än en webbserver för kunder, som lagrar kreditkortdata och som även den är sårbar för Heartbleed. I ett nästa steg kommer analytikern undersöka vilka typer av hot som skulle kunna utnyttja den här sårbarheten, och presenterea en rad olika möjliga motåtgärder och målsättningar. Sist men inte minst beräknas betydelsen för verksamheten, alltså; vilka oönskade följder kan det få för verksamheten om kreditkortdata skulle hamn i fel händer som en konsekvens av Heartbleed?

Den färdiga riskanalysen kommer att innehålla en riskgradering och en rekommendation på begränsade åtgärder som man kan välja att vidta.

Läs mer om riskanalys på EC-Councils ECIH eller ISACAs CISM kurs- och certifieringsprogram.

Alla tre koncept som beskrivs här i bloggen kan kombineras, men det är viktigt att känna till skillnaden för att på så vis kunna använda sig av verktygen på ett effektivt sätt.

Om du vill veta mer om åtgärder inom IT-säkerhet skulle du säkert vara intresserad av de här kurs- och certifieringsprogrammen inom IT.

Två personer övervakar system för säkerhetsintrång

Unlimited Security Training

obegränsad tillgång till ALLA LIVE instruktörsledda säkerhetskurser du vill ha - allt till priset av mindre än en kurs.

  • 60+ LIVE instruktörsledda kurser
  • Money-back Garanti
  • Tillgång till 50+ erfarna instruktörer
  • Utbildad 50 000+ IT-proffs

Varukorg

{{item.CourseTitle}}

Pris: {{item.ItemPriceExVatFormatted}} {{item.Currency}}