Vad är skillnaden mellan sårbarhetsscanning, penetrationstestning och riskanalys?

Om Talent

Smarta investeringar i människor och färdigheter kommer att förstärka din verksamhet och göra det möjligt för dig att uppnå vad som helst. Forma din framtid och täpp igen era mest komplexa kunskapsluckor med hjälp av en fokuserad lösning och ett omfattande utbildningsprogram för kandidater som kommer att vända spelet till er fördel. Se hur.

Kom vidare

Jag är en framåtdrivande ledare som söker en talangfull kandidat

Jag är en ambitiös kandidat som söker ett spännande jobb

Du vill skydda dig från hackare och vill därför gärna genomföra de klassiska IT-säkerhetstesterna. Men vad är skillnaden mellan dem?

Varje tjänst som är kopplad till internet har behov av sårbarhetstester, att undersöka om de sårbarheterna kan utnyttjas i din miljö och att ta reda på vilka reella risker de här sårbarheterna medför.

Sårbarhetstest
Sårbarhetstest förväxlas ofta med penetrationstestning, men det är två väldigt olika tester.

Sårbarhetstester utförs ofta med hjälp av en programvara som exempelvis Nessus eller OpenVas, som kan genomsöka en IP-adress eller en rad IP-adresser efter kända sårbarheter. Till exempel kan programvaran upptäcka signaturen för Heartbleed-buggen eller bristande Apache web server patches och utfärda en varning om dessa sårbarheter finns. Resultatet är en lista över de upptäckta sårbarheterna som ger en känsla för de allvarliga sårbarheter som finns och vilka grundläggande åtgärder som kan vidtas för att täppa igen dessa luckor.

Det är viktigt att notera att dessa genomsökningar endast förhåller sig till redan kända sårbarheter, alltså de hot som mjukvaruleverantörer, hackare och yrkesverksamma inom IT-säkerhet redan känner till.

Om du vill lära dig mer om sårbarhetstestning kan du ta en titt på EC-Councils ECSA-kurs.

Penetrationstest
Det finns många så kallade penetrationstestare som endast genomför en sårbarhetsscanning, putsar lite på rapporten och sedan kallar det för ett penetrationstest. Men det är inte ett äkta penetrationstest. En duktig penetrationstestare har en sårbarhetsscanning som utgångspunkt och börjar sedan undersöka vad det faktiskt är som kan penetreras.

Låt oss till exempel säga att en hemsida är sårbart för Heartbleed. Det är kontinuerligt fallet för många hemsidor. Men det är en sak att konstatera att det finns en sårbarhet för Heartbleed och en helt annan att använda sig av buggen för att ta reda på problemets omfattning och räkna ut exakt vilken information det egentligen kan finnas tillgänglig som skulle vara av inrresse om sårbarheten skulle utnyttjas.

Precis som med en sårbarhetsscanning rangordnas resultaten ofta efter allvarlighetsgrad och rekommendationer för motåtgärder presenteras. Penetrationstest kan genomföras med hjälp av automatiserade verktyg, men erfarna testare skriver sin egna kod från grunden.

Om du vill kunna ranka dig som en av de bästa penetrationstestarna ska du ta dig en titt på kursen EC-Council Licensed Penetration Tester (LPT) Master.

Riskanalys
En riskanalys kräver inte scanninsverktyg- eller applikationer. Det är en åtgärd som analyserar en specifik sårbarhet och riktar in sig på de ekonomiska, omdömesmässiga, affärsmässiga och juridiska kosekvenserna för verksamheten om denna sårbarhet skulle utnyttjas.

Analytikern undersöker först den sårbara servern och beskriver var på nätverket den befinner sig och vilken data den lagrar. En server på ett intranät som inte lagrar data men som är sårbar för Heartbleed har en helt annan riskprofil än en webbserver för kunder, som lagrar kreditkortdata och som även den är sårbar för Heartbleed. I ett nästa steg kommer analytikern undersöka vilka typer av hot som skulle kunna utnyttja den här sårbarheten, och presenterea en rad olika möjliga motåtgärder och målsättningar. Sist men inte minst beräknas betydelsen för verksamheten, alltså; vilka oönskade följder kan det få för verksamheten om kreditkortdata skulle hamn i fel händer som en konsekvens av Heartbleed?

Den färdiga riskanalysen kommer att innehålla en riskgradering och en rekommendation på begränsade åtgärder som man kan välja att vidta.

Läs mer om riskanalys på EC-Councils ECIH eller ISACAs CISM kurs- och certifieringsprogram.

Alla tre koncept som beskrivs här i bloggen kan kombineras, men det är viktigt att känna till skillnaden för att på så vis kunna använda sig av verktygen på ett effektivt sätt.

Om du vill veta mer om åtgärder inom IT-säkerhet skulle du säkert vara intresserad av de här kurs- och certifieringsprogrammen inom IT.

7. sep 2018

av Rickard Hagenstam

Rickard Hagenstam

COO och Partner

Rickard är dedikerad att erbjuda den bästa kvaliteten till nytta och glädje för våra kunder. Rickard har varit hos Readynez sedan starten och innan dess haft flera ledande positioner i den nordiska IT- och utbildningsbranschen.

Readynez använder cookies för att förbättra din upplevelse av vår hemsida. Vill du veta mer vänligen läs vår integritetspolicy.

Integritetspolicy OK