Hvad er forskellen på sårbarheds scanning, penetration testing og risiko analyse?

Om Readynez Talent

Readynez Talent er en fokuseret rekrutteringsløsning og et komplet uddannelsesprogram. Vi gør kandidater klar til at kick-starte deres karrierer i IT branchen og vi gør ledere klar til fremtiden med den hurtigste og mest omkostningseffektive måde at tilføre nye ressourcer.

Kom igang

Jeg er en fremadtænkende leder som søger talentfulde kandidater

Jeg er en ambitiøs kandidat
som søger et fantastisk job 

Du vil ikke hackes, så du vil gerne gennemføre de klassiske IT-sikkerhedstest. Men hvad er forskellen på dem?

Enhver service som er forbundet til nettet vil have brug for at teste for sårbarheder, at undersøge om de kan udnyttes i dit miljø, og at vide hvilke reelle risici disse sårbarheder fører med sig.

Sårbarhedstest
Sårbarhedstest bliver tit forvekslet med penetrationstesting, men det er meget forskellige test.

Sårbarhedstest sker oftest med en software som eksempelvis Nessus eller OpenVas, som kan skanne en IP adresse eller en række IP adresser for kendte sårbarheder. For eksempel kan softwaren have signaturen for Heartbleed bug´en eller manglende Apache web server patches, og vil give en advarsel hvis disse sårbarheder findes. Resultatet er en liste over de fundne sårbarheder, som vil give en fornemmelse af hvor alvorlige sårbarheder der findes og hvilke basale ting, der kan gøres for at lukke hullerne.

Det er vigtigt at lægge mærke til, at disse scannere forholder sig til kendte sårbarheder, altså de trusler der allerede kendes blandt software udbydere, hackere og IT sikkerhedsprofessionelle. Men husk, at trusler ændrer sig hele tiden, og så vil scannerne ikke finde dem.

Vil du lære mere om sårbarhedstest kan du tage et kig på EC-Councils ECSA hér.

Penetrationstest
Der findes mange såkaldte penetrationstestere der bare kører en sårbarhedsscanning, pudser lidt på rapporten og så kalder et en penetrationstest. Men det er ikke en rigtig penetrationstest. En dygtig penetrationstester tager outputtet af en sårbarhedsscanning, og så går de ellers i gang med at undersøge hvad der egentlig kan penetreres.

For eksempel, lad os sige at et website er sårbart overfor Heartbleed. Det er der mange websites der stadig er. Det er så én ting at konstatere, at du er sårbar overfor Heartbleed, men en helt anden at udnytte bug´en for at opdage problemets omfang og finde ud af nøjagtig hvilken information der egentlig kan findes, hvis sårbarheden blev udnyttet.

Ligesom med en sårbarhedsscanning, vil resultaterne ofte blive rangordnet efter alvorlighed og der vil følge anbefalinger til modforanstaltninger. Penetrationstes kan udføres med automatiserede redskaber, men erfarne testere vil skrive deres egen kode fra bunden.

Vil du være blandt de allerbedste pen testere skal du tage et kig på EC-Council Licensed Penetration Tester (LPT) Master.

Risiko analyse
En risikoanalyse kræver ikke scannings tools eller applikationer. Det er en disciplin, som analyserer en specifik sårbarhed og anslår de finansielle-, omdømmemæssige-, forretningsmæssige- og retsmæssige konsekvenser for virksomheden såfremt sårbarheden blev udnyttet.

Analytikeren vil først undersøge den sårbare server, og beskrive hvor den er på netværket, og hvilke data den opbevarer. En server på et internt netværk, som ikke opbevarer data, som er sårbar overfor Heartbleed har en helt anden risiko profil end en web server til kunder, som opbevarer kreditkortdata, og som også er sårbar overfor Heartbleed. Efterfølgende vil analytikeren undersøge hvilke trusler, der ville kunne udnytte sårbarheden, og opstille en række mulige motivationer og målsætninger. Til sidst vil betydningen for virksomheden blive anslået – Altså; hvilke uheldige følger vil det få for virksomheden, hvis kreditkortdata faldt i de forkere hænder ved hjælp af Heartbleed?

Den færdige risikoanalyse vil have en risiko rating og en anbefaling af afbødende foranstaltninger, som man så kan vælge at implementere.

Lær mere om risikoanalyse på EC-Council ECIH eller ISACA´s CISM kursus- og certificeringsprogram.

Alle 3 koncepter som er beskrevet i bloggen hér kan bruges sammen, men det er vigtigt at kende forskellen for at bruge redskaberne effektivt.

Vil du vide mere om forskellige IT-sikkerhedsforanstaltninger vil du sikkert være interesseret i IT-sikkerheds kursus- og certificeringsprogrammerne hér.

4. sep 2018

af Maria Forsberg

Maria Forsberg

Marketing Manager

Maria arbejder med kommunikation og markedsføring for Readynez i Norden, hvor vi arbejder for at udvikle de skarpeste hjerner, der kan skabe bedre løsninger for succesfulde virksomheder.

Readynez anvender cookies for at forbedre din oplevelse på websitet. Vil du vide mere, så læs venligst vores integritetspolitik.

Integritetspolitik OK