Hva er formålet med en pentest?
En penetrasjonstest (pentest) innebærer å teste en bedrifts IT-systemer for å finne og tette sikkerhetshull før kriminelle kan utnytte dem. All testing gjennomføres på en trygg og respektfull måte som ikke forstyrrer normal drift eller skaper unødig stress for de ansatte.
Hvordan foregår det?
Vi avtaler på forhånd hva dere vil inkludere i testen og ikke. Standardpakken inkluderer kartlegging av offentlig tilgjengelig informasjon, testing av webapplikasjoner og simulering av phishing-angrep.
Dette kan gjennomføres helt uten at dere gir meg noen tilganger, men det er også mulig å utføre en intern test, hvor jeg tester hvor mye skade som kan gjøres når jeg allerede er logget på nettverket eller har tilgang til en vanlig ansattkonto.
I tillegg kan det være aktuelt å teste fysisk sikkerhet, altså at jeg prøver å komme inn på steder jeg ikke er autorisert for. I slike tilfeller vil jeg aldri ødelegge noe, men heller bruke sosial manipulering og andre lurerier for å snike meg inn.
Vi kommer også til å avklare hvem i organisasjonen som skal vite om testen på forhånd. Det ideelle er at så få som mulig er klar over testingen, spesielt hvis sosial manipulering er involvert.
Hva består rapporten av?
I etterkant av testen får dere en rapport som forklarer alle funn. Dere får vite hvilke sårbarheter som ble funnet, hvor alvorlige de er, og konkrete tiltak for å tette hullene. Rapporten er teknisk nok til at IT-ansatte kan implementere tiltakene, samtidig som den inneholder et sammendrag som alle kan forstå, uavhengig av teknisk bakgrunn.
Rapporten kommer på ingen måte til å klandre dere for eventuelle feilsteg.
Formålet med testen er ikke er å henge ut enkeltpersoner, verken hos IT-leverandøren eller i din egen organisasjon. Dette er et lærerikt eksperiment der målet er å forbedre organisasjonens sikkerhetskultur. Hvis ansatte faller for sosial manipulering, behandles det som en læringsmulighet, ikke som personlige feil.
Er dette trygt?
Jeg følger strenge etiske retningslinjer og gjør ingenting som dere ikke eksplisitt har gitt meg tillatelse til.
Før vi starter, signerer jeg en taushetserklæring. Hvis jeg kommer over noe jeg ikke burde ha sett, skal jeg dokumentere sårbarheten uten å se nærmere på innholdet. Jeg skal ikke under noen omstendigheter slette filer, endre på konfigurasjoner eller andre ting som kan føre til at systemene svikter.
Rapporten med eventuelle sårbarheter skal krypteres og sendes på en sikker måte. Under og etter pentestingen skal jeg kryptere og sikre all informasjon som samles inn, lagres og overføres. Hva angår datalagring, kommer jeg til å beholde informasjon i en avtalt periode (1-3 måneder) for rapportering og kvalitetssikring. Når perioden er over, sletter jeg alt ved hjelp av sikker overskriving.
Alt i alt: Å gjennomføre en pentest er utvilsomt tryggere enn å ikke gjøre det.