Ett pentest eller penetrationstest är en säkerhetsgranskning av ett system som syftar till att identifiera sårbarheter i systemet som sedan kan åtgärdas för att se till att de inte kan utnyttjas av en angripare. Det finns ett flertal olika typer av pentest, som skiljer sig något i förutsättningar och utförande:
- Pentest av interna nätverk och Active Directory
- Pentest av webbapplikationer
- Pentest av mobilapplikationer
- Pentest av molnmiljöer
Vi har i denna artikel valt att beskriva de delar som dessa olika typer av pentest har gemensamt, vilket är de olika faserna testerna går igenom under de 1-2 veckor som pentestet pågår. Här skiljer sig dessa något mellan olika leverantörer, men vi har valt att beskriva dem i grova drag.
Scoping
Den första fasen är vanligtvis det som kallas scoping, där innehållet i testet definieras. Här går man igenom saker som vilka system som skall testas, när i tiden, vilka risker uppdragsgivaren ser, i vilken miljö testet genomförs (exempelvis i utvecklings- eller produktionsmiljö) samt om det finns undantag till vad som får testas. Scopingen är viktig då denna sätter omfattningen på testet.
Det är värt att notera att den här fasen typiskt sett utförs en tid innan testet då det ofta uppkommer frågor och begränsningar som behöver lösas innan ett test väl kan påbörjas.
Uppstart
Nästa, vanligtvis korta fas, är uppstarten på testet. Här valideras att alla förutsättningar är på plats, att testarna har tillgång till miljön samt ges möjlighet att se hur applikationen används till vardags. Under detta, typiskt 1 timme långa möte finns det ofta möljighet att reda ut kvarvarande frågor från kundens sida samt möjlighet för testarna att ställa ytterligare frågor.
Som en del i den här fasen ingår även de förberedelser testarna behöver utföra för att på ett säkert sätt kunna genomföra uppdraget. Det innefattar bland annat att sätta upp en säker isolerad miljö för testning, införskaffande av utrustning som kan behövas och att läsa på om kundens verksamhet.
Testfasen
Så snart uppstartsmötet är avslutat är testarna i regel redo att påbörja testet där de etiska hackarna använder samma verktyg och metoder som riktiga angripare. Vanligtvis behövs lite eller ingen vägledning under denna fas, även om det är bra att ha en teknisk kontaktperson hos kunden för att reda ut problem som kan uppstå. Även om det inte är vanligt att de testade miljöerna helt slutar fungera, så kan de anrop som används utav testarna få applikationen att bete sig på ett sätt som inte var menat.
Även om de flesta brister inte rapporteras löpande under testets gång så är det vanligt att kritiska sårbarheter rapporteras så snart de identifierats, då dessa kan leda till allvarliga konsekvenser i produktionsssystem.
Avrapporteringsmöte och Rapport
När tiden för testet löper mot sitt slut så sammanställer testarna de säkerhetsbrister som identifierats i en utförlig rapport samt presenterar bristerna på ett avrapporteringsmöte.
Rapporten, som är tilltänkt att läsas av personer med olika ansvar och bakgrund, innehåller vanligtvis en högnivåbeskrivning av testet och resultatet samt en mer detaljerad teknisk del där bristerna, hur de nyttjas och åtgärdas beskrivs.
Avrapporteringsmötet syftar till att testarna skall kunna visa de identifierade bristerna, hur de går att utnyttja samt hur de kan åtgärdas eller motverkas. Här har även kunden möjlighet att ställa frågor som ofta kan uppkomma då vissa attacker innefattar komplexa flöden.
Summering
Vi på Shelltrail är vana att hjälpa företag att säkra upp sina system genom att uföra säkerhetsgranskningar. Använd vårt kontaktformulär eller skicka ett mail till [email protected] så kan vi diskutera vilka sätt vi kan hjälpa er.