FortConsult Ydelser PCI Kunder Artikler Presse Job Kontakt os
6. september 2003 - Fra StayInTouch™ - Fort Consults elektroniske sikkerhedsnyheder
 
Af Ulf Munkedal, direktør og grundlægger af Fort Consult
Der findes efterhånden et stort udbud af sikkerhedstest på forskellige niveauer. Vi hører fra mange virksomheder, at det kan være en vanskelig opgave at vurdere omfanget af testene og dermed finde frem til hvilken test fra hvilken leverandør, der bedst matcher ens behov.

Vi har udarbejdet et sæt retningslinjer for, hvordan man som virksomhed bedst kan vurdere, hvilken type test en leverandør tilbyder. Retningslinjerne kan med fordel benyttes som et værktøj til at stille krav til leverandøren og drøfte i dybden, om leverandørens test kan leve op til kravene.
 
En tjekliste med spørgsmål
For at kunne vurdere testens grundighed er det en god idé at spørge om følgende:
  • Udføres testen kun ved hjælp af automatiske skanninger?
  • Benyttes der i givet fald mere end et testværktøj?
  • Suppleres den automatiske test med manuel verificering af resultaterne for at sikre, at de er korrekte?
  • Udføres manuelle angreb og analyser alene eller som et supplement til de automatiske test?
  • Hvad er testudøvernes forudsætninger for at lave en grundig manuel test?
  • Hvilken kvalitetskontrol foretages på de manuelle test?
  • Hvordan kommunikeres resultaterne af testen?
  • Er der inspektion med i testen - fx gennemgang af firewall-regelsæt og web-kode?
  • Se følgende beskrivelse, der uddyber, hvad I får ud af en test på forskellige niveauer.
 
Testens sammensætning har betydning for, hvor grundig den er
 
1. Tilfældige angreb
En test kan overordnet set udføres på tre niveauer som vist på tegningen. Det første niveau omfatter tilfældige angreb - det vil sige test, som giver svar på om amatørhackere eller orme kan få adgang til jeres IT-systemer. De tilfældige angreb består af angreb med et eller flere automatiske værktøjer.

Når I vælger at få udført automatiske skanninger, er det en god idé at spørge leverandøren, om de benytter et eller flere værktøjer, og om de supplerer de automatiske test med manuel verifikation, så eventuelle falske positiver udelukkes. Falske positiver er sikkerhedshuller, som ikke eksisterer men fejlagtigt er blevet identificeret via værktøjet.
 
2. Målrettede angreb
Niveau to omfatter målrettede angreb, som kan fortælle jer, om dygtige hackere kan bryde igennem jeres forsvarsværker. Disse angreb består dels af skanninger med automatiske værktøjer samt manuelle angreb og analyser. Når I vælger leverandør af denne type test, anbefaler vi at fokusere på leverandørens forudsætninger for at udføre en både grundig og kreativ test. Her spiller testerfaring og en omfattende, velstruktureret testdatabase ind i vurderingen. Spørg fx til referencer - og til hvad testdatabasen indeholder, og hvordan den er bygget op. Også leverandørens generelle troværdighed og fokus på, at alle medarbejdere har rene straffeattester, bør vurderes.

Spørg evt. også til, hvordan deres kvalitetskontrol forløber - tjekker leverandøren eksempelvis manuelt, at der ikke er falske negativer i testen, så de sikrer, at værktøjerne eller de manuelle test ikke fejlagtigt har undladt at identificere nogle faktiske sikkerhedshuller. Vi anbefaler også, at I finder ud af, hvordan testresultaterne kommunikeres til jer, inklusive om rapporten er letforståelig og overskuelig - og om den fremlægges for jer på et møde, hvor I kan få mulighed for at stille spørgsmål. Bed evt. om at se en eksempelrapport, inden I indgår et samarbejde.

Ud over at spørge ind til disse ting er det en god idé at bede om at se den potentielle leverandørs procedurer og øvrige dokumentation for, hvordan testen udføres.
 
3. Målrettede angreb med insider-viden
Målrettede angreb med insider-viden, som er det tredje og sidste niveau, vil give jer svar på, om I er sårbare over for trusler fra folk med insider-viden. Hvis I ønsker dette ekstra niveau af sikkerhed, er det en god idé at spørge jeres leverandør, om de kan udføre dette, og givet fald hvad inspektionen vil indeholde. Den bør normalt indeholde en gennemgang af jeres firewall-regelsæt eller netværkstegning for at finde ud af, hvorvidt insider-viden om jeres systemer kan anvendes til at finde smuthuller, som kan bruges til hackerangreb.
 
En Inspektion kan indeholde:
  • Gennemgang af opsætning og konfigurationsfiltre
  • Gennemgang af regelsæt og logfiler
  • Code review på egen-udviklede web-komplekser og applikationer
  • Evt. udvikling af målrettede angrebsværktøjer
 
En individuel vurdering?
Hvis du kunne tænke dig en uforpligtende dialog om, hvilken testsammensætning, der bedst matcher jeres behov, er du velkommen til at kontakte Fort Consult på telefon 7020 7525. Vi hjælper også gerne med at definere, hvilke områder af jeres netværk, I bør teste hvor tit og i hvilket omfang - både hvad angår jeres interne netværk og Internet-systemer.
Tilbage > udskriv