Fence forklarer

Penetrasjonstesting

Penetrasjonstesting, også kjent som pentesting, er en metode for å evaluere sikkerheten til en IT-infrastruktur ved å simulere et angrep fra ondsinnede aktører. Dette inkluderer identifisering og utnyttelse av sårbarheter for å vurdere hvilke forbedringer som trengs for å beskytte systemene bedre.

Våre tjenester for penetrasjonstesting / sikkerhetstesting

Webapplikasjon penetrasjonstest / sikkerhetstest
Våre konsulenter utfører manuell penetrasjonstesting av web applikasjoner. Testingen fokuserer på webapplikasjoners grensesnitt, inndatafelt og integrasjons-APIer. Testerne vil først gjøre seg kjent med forretningslogikken, og deretter forsøke å eskalere privilegier eller få tilgang til andre brukeres informasjon. Vi bruker også manuell testing for å verifisere sårbarheter avdekket.

Alle tester utføres i henhold til den nyeste OWASP TOP 10-standarden,  OWASP Web Security Testing Guide (WSTG) versjon 4.2 og ved forespørsel er det mulig å utføre en OWASP ASVS (Application Security Verification Standard) gjennomgang, hvor teamet vil verifisere tekniske sikkerhetskontroller sammen med utviklerne for å skreddersy sikkerhetskravene til den testede applikasjonen.

Ekstern penetrasjonstest / sikkerhetstest
Ekstern penetrasjonstesting verifiserer alle eksterne angrepsflater et selskap kan ha. Dette kan utføres på to måter:

• Black box: Ingen informasjon gis til testerne, som må finne eiendelene ved bruk av teknikker en trusselaktør ville brukt.
• White box: Listen over eiendelene som skal testes er kjent, og teamet fokuserer på disse.

Denne testen kartlegger også eksterne ressurser som selskapet kanskje ikke er klar over. Vi bruker de samme verktøyene og teknikkene som ekte trusselaktører for å finne sårbarheter i offentlige enheter og applikasjoner.

• Kartlegging ved bruk av OSINT
• Manuell og automatisk analyse
• Utnyttelse av funne sårbarheter

Intern penetrasjonstest / sikkerhetstest
Intern sikkerhetstesting baserer seg på et «assume breach»-scenario, hvor det antas at trusselaktøren allerede har tilgang til selskapets interne nettverk. Målet er å identifisere og utnytte sårbarheter for å eskalere privilegier og bevege seg lateralt innenfor nettverket.

• Evaluere effektiviteten av sikkerhetskontroller og SOC
• Identifisere og adressere sårbarheter innenfor eget nettverk
• Forbedre sikkerhetsnivået og sikre samsvar med forskriften.
• Finne feilkonfigurasjoner og sårbarheter som ikke fanges opp av skannere

Cloud  penetrasjonstest / sikkerhetstest
Gjennom årene har skytjenesteinfrastruktur blitt stadig mer utbredt i kundemiljøer gjennom bruk av skytintegrasjoner, programvare som en tjeneste (SaaS) og plattform som en tjeneste (PaaS) tilbud. Penetrasjonstesting av skytjenester er en metode for å evaluere sikkerheten til disse skybaserte systemene ved å identifisere og utnytte sårbarheter som kan utgjøre en risiko for virksomheten.

Vårt team kan utføre penetrasjonstesting av de ledende skytjenesteleverandørene, inkludert, men ikke begrenset til:

• Microsoft Azure
• Amazon Web Services
• Google Cloud Platform

Fysisk penetrasjonstest / Sikkerhetstest

Fysisk penetrasjonstesting simulerer innbruddsforsøk for å identifisere svakheter i et selskaps fysiske sikkerhet.Vi tester fysisk sikkerhet ved forsøk på å få tilgang til kontorer og interne IT-systemer.

• Forsøk på fysisk tilgang til kontorer
• Forsøk på tilgang til interne IT-systemer gjennom tekniske rom eller usikrede nettverk

Simulert phishing og sosial manipulering
Phishing er den mest brukte angrepsmetoden av cyberkriminelle. Våre phishing-øvelser kan integreres i din bevisstgjøringskampanje, og inkluderer øvelser med økende vanskelighetsgrad.

Redteam øvelse / beredskapsøvelse
En Redteam-øvelse demonstrerer risikoen fra avanserte trusselaktører ved å etterligne ekte angrep. Dette inkluderer testing av teknologi, fysisk sikkerhet og mennesker.

• Teknologi: Internett-eksponerte tjenester og interne IT-nettverk
• Fysisk: Bygninger, kontorer og infrastruktur
• Mennesker: Ansatte, kunder og klienter

Vi bruker alltid fast metodikk
Våre konsulenter og penetrasjonstestere benytter alltid fast metodikk for å sørge for nøyaktig og repeterbar testing. Vi baserer oss i hovedsak på annkjente metoder og best practice. (PTES, OWASP)

Når og hvor ofte bør man gjennomføre sikkerhetstesting av systemene
Alle systemer må kontinuerlig bli overvåket og vedlikeholdt i forhold til relevante trusler og sårbarheter. Risikoadministrasjon må gjøres løpende som en pågående prosess for alle sensitive data og kritiske systemer. Det er derfor nødvendig med repeterende og jevnlig sikkerhetstesting. Vi anbefaler at man som en del av arbeidet med sikkerhetspolicyen definerer hvilket typer tester og frekvensen av testing som er nødvendig for bedriftens forskjellige systemer. Vi anbefaler minst en årlig penetrasjonstest av selskapet, sammen med en pågående kvartalsvis sikkerhetsskanning.

Ved å utføre regelmessige penetrasjonstester og sikkerhetsskann vil man som selskap vise at man tar sikkerhet på alvor, at man er ansvarsfull som partner og at man etterlever krav til sikkerhet gjennom ISO 27001 og PCI DSS.

Hvorfor velge Fence
Fence har erfarne konsulenter og penetrasjonstestere som er klare til å hjelpe din organisasjon med å sikre sine systemer mot potensielle angrep. Vi bruker de samme verktøyene og teknikkene som ekte trusselaktører for å gi deg en realistisk vurdering av sikkerheten.