Hvad er forskellen på en sårbarheds scanning, penetration testing og risiko analyse?

Enhver service som er forbundet til nettet vil have brug for at teste for sårbarheder, at undersøge om de kan udnyttes i dit miljø, og at vide hvilke reelle risici disse sårbarheder fører med sig.

Sårbarhedstest
Sårbarhedstest bliver tit forvekslet med penetrationstesting, men det er meget forskellige test.

Sårbarhedstest sker oftest med en software som eksempelvis Nessus eller OpenVas, som kan skanne en IP adresse eller en række IP adresser for kendte sårbarheder. For eksempel kan softwaren have signaturen for Heartbleed bug´en eller manglende Apache web server patches, og vil give en advarsel hvis disse sårbarheder findes. Resultatet er en liste over de fundne sårbarheder, som vil give en fornemmelse af hvor alvorlige sårbarheder der findes og hvilke basale ting, der kan gøres for at lukke hullerne.

Det er vigtigt at lægge mærke til, at disse scannere forholder sig til kendte sårbarheder, altså de trusler der allerede kendes blandt software udbydere, hackere og IT sikkerhedsprofessionelle. Men husk, at trusler ændrer sig hele tiden, og så vil scannerne ikke finde dem.

Penetrationstest
Der findes mange såkaldte penetrationstestere der bare kører en sårbarhedsscanning, pudser lidt på rapporten og så kalder et en penetrationstest. Men det er ikke en rigtig penetrationstest. En dygtig penetrationstester tager outputtet af en sårbarhedsscanning, og så går de ellers i gang med at undersøge hvad der egentlig kan penetreres.

For eksempel, lad os sige at et website er sårbart overfor Heartbleed. Det er der mange websites der stadig er. Det er så én ting at konstatere, at du er sårbar overfor Heartbleed, men en helt anden at udnytte bug´en for at opdage problemets omfang og finde ud af nøjagtig hvilken information der egentlig kan findes, hvis sårbarheden blev udnyttet.

Ligesom med en sårbarhedsscanning, vil resultaterne ofte blive rangordnet efter alvorlighed og der vil følge anbefalinger til modforanstaltninger. Penetrationstes kan udføres med automatiserede redskaber, men erfarne testere vil skrive deres egen kode fra bunden.

Vil du være blandt de allerbedste pen testere skal du tage et kig på EC-Council Licensed Penetration Tester (LPT) Master.

Risiko analyse
En risikoanalyse kræver ikke scannings tools eller applikationer. Det er en disciplin, som analyserer en specifik sårbarhed og anslår de finansielle-, omdømmemæssige-, forretningsmæssige- og retsmæssige konsekvenser for virksomheden såfremt sårbarheden blev udnyttet.

Analytikeren vil først undersøge den sårbare server, og beskrive hvor den er på netværket, og hvilke data den opbevarer. En server på et internt netværk, som ikke opbevarer data, som er sårbar overfor Heartbleed har en helt anden risiko profil end en web server til kunder, som opbevarer kreditkortdata, og som også er sårbar overfor Heartbleed. Efterfølgende vil analytikeren undersøge hvilke trusler, der ville kunne udnytte sårbarheden, og opstille en række mulige motivationer og målsætninger. Til sidst vil betydningen for virksomheden blive anslået – Altså; hvilke uheldige følger vil det få for virksomheden, hvis kreditkortdata faldt i de forkere hænder ved hjælp af Heartbleed?

Den færdige risikoanalyse vil have en risiko rating og en anbefaling af afbødende foranstaltninger, som man så kan vælge at implementere.

Lær mere om risikoanalyse på EC-Council ECIH eller ISACA´s CISM kursus- og certificeringsprogram.

Alle 3 koncepter som er beskrevet i bloggen hér kan bruges sammen, men det er vigtigt at kende forskellen for at bruge redskaberne effektivt.

Vil du vide mere om forskellige IT-sikkerhedsforanstaltninger vil du sikkert være interesseret i IT-sikkerheds kursus- og certificeringsprogrammerne hér.