Om Kurserne

Gennem mange års erfaring med flere end 1000 af verdens topvirksomheder, har vi udviklet Readynez-metoden til læring
Træn indenfor enhver teknologi med den prisvindende Readynez-metode, og kombiner enhver variation af lærings format, teknologi og sted for at undgå The Great Training Robbery og få resultater med Skills.

Se mere om Readynez Training

Hvad er forskellen på en sårbarheds scanning, penetration testing og risiko analyse?

feb 2022 af MARIA FORSBERG

Du vil ikke hackes, så du vil gerne gennemføre de klassiske IT-sikkerhedstest. Men hvad er forskellen på dem?

Enhver service som er forbundet til nettet vil have brug for at teste for sårbarheder, at undersøge om de kan udnyttes i dit miljø, og at vide hvilke reelle risici disse sårbarheder fører med sig.

Sårbarhedstest
Sårbarhedstest bliver tit forvekslet med penetrationstesting, men det er meget forskellige test.

Sårbarhedstest sker oftest med en software som eksempelvis Nessus eller OpenVas, som kan skanne en IP adresse eller en række IP adresser for kendte sårbarheder. For eksempel kan softwaren have signaturen for Heartbleed bug´en eller manglende Apache web server patches, og vil give en advarsel hvis disse sårbarheder findes. Resultatet er en liste over de fundne sårbarheder, som vil give en fornemmelse af hvor alvorlige sårbarheder der findes og hvilke basale ting, der kan gøres for at lukke hullerne.

Det er vigtigt at lægge mærke til, at disse scannere forholder sig til kendte sårbarheder, altså de trusler der allerede kendes blandt software udbydere, hackere og IT sikkerhedsprofessionelle. Men husk, at trusler ændrer sig hele tiden, og så vil scannerne ikke finde dem.

Vil du lære mere om sårbarhedstest kan du tage et kig på EC-Councils ECSA hér.

Penetrationstest
Der findes mange såkaldte penetrationstestere der bare kører en sårbarhedsscanning, pudser lidt på rapporten og så kalder et en penetrationstest. Men det er ikke en rigtig penetrationstest. En dygtig penetrationstester tager outputtet af en sårbarhedsscanning, og så går de ellers i gang med at undersøge hvad der egentlig kan penetreres.

For eksempel, lad os sige at et website er sårbart overfor Heartbleed. Det er der mange websites der stadig er. Det er så én ting at konstatere, at du er sårbar overfor Heartbleed, men en helt anden at udnytte bug´en for at opdage problemets omfang og finde ud af nøjagtig hvilken information der egentlig kan findes, hvis sårbarheden blev udnyttet.

Ligesom med en sårbarhedsscanning, vil resultaterne ofte blive rangordnet efter alvorlighed og der vil følge anbefalinger til modforanstaltninger. Penetrationstes kan udføres med automatiserede redskaber, men erfarne testere vil skrive deres egen kode fra bunden.

Vil du være blandt de allerbedste pen testere skal du tage et kig på EC-Council Licensed Penetration Tester (LPT) Master.

Risiko analyse
En risikoanalyse kræver ikke scannings tools eller applikationer. Det er en disciplin, som analyserer en specifik sårbarhed og anslår de finansielle-, omdømmemæssige-, forretningsmæssige- og retsmæssige konsekvenser for virksomheden såfremt sårbarheden blev udnyttet.

Analytikeren vil først undersøge den sårbare server, og beskrive hvor den er på netværket, og hvilke data den opbevarer. En server på et internt netværk, som ikke opbevarer data, som er sårbar overfor Heartbleed har en helt anden risiko profil end en web server til kunder, som opbevarer kreditkortdata, og som også er sårbar overfor Heartbleed. Efterfølgende vil analytikeren undersøge hvilke trusler, der ville kunne udnytte sårbarheden, og opstille en række mulige motivationer og målsætninger. Til sidst vil betydningen for virksomheden blive anslået – Altså; hvilke uheldige følger vil det få for virksomheden, hvis kreditkortdata faldt i de forkere hænder ved hjælp af Heartbleed?

Den færdige risikoanalyse vil have en risiko rating og en anbefaling af afbødende foranstaltninger, som man så kan vælge at implementere.

Lær mere om risikoanalyse på EC-Council ECIH eller ISACA´s CISM kursus- og certificeringsprogram.

Alle 3 koncepter som er beskrevet i bloggen hér kan bruges sammen, men det er vigtigt at kende forskellen for at bruge redskaberne effektivt.

Vil du vide mere om forskellige IT-sikkerhedsforanstaltninger vil du sikkert være interesseret i IT-sikkerheds kursus- og certificeringsprogrammerne hér.

GET INSPIRED

Latest from the blog

Sådan får du en karriere inden for etisk hacking: CEH-certificering, eksamen, omkostninger, forberedelse, løn og mere

LÆS MERE

Sådan overvinder du AZ-104-eksamenen og bliver en Microsoft Certified Azure Administrator Associate

LÆS MERE

Hvordan kan en moderne LXP hjælpe dig til en vellykket digital transformation?

LÆS MERE

Love Skills? We do...

Skills are a big deal! Explore these blogs to find out more about what´s next and how you get prepared for change.

Sådan består du AZ-104 Microsoft Certified Azure Administrator-eksamenen

LÆS MERE

Microsoft certificeringer Roadmap

LÆS MERE

Guide: Sådan tager du din Microsoft eksamen hjemmefra

LÆS MERE

Explore the latest Skills-First Economy Insights

Discover the science and thoughts of leaders in the Skills-First Economy. Fill in your email to subscribe to monthly updates.

VORES KURSER

Igennem mange års erfaring, og samarbejde med flere end 1000 af verdens førende virksomheder, har vi udviklet Readynez indlæringsmetode. Vælg imellem IT kurser indenfor enhver teknologi og kombinér enhver variation af virtuelle kurser, instruktørledede kurser, eller online- og blended kurser for at skabe forretningsresultater med kompetencer.

Kurv

{{item.CourseTitle}}

Pris: {{item.ItemPriceExVatFormatted}} {{item.Currency}}