En penetrationstest – forkortet pen-test – er en aktivitet hvor man simulererer angreb på et system med det formål at teste systemets sikkerhed.

Pen-tests kaldes også ethical hacking, da den udføres af hackere, men af den gode slags. Resultatet af en Pen-test kan bruges til at forbedre sikkerheden ved målrettet at lukke de sikkerhedshuller, som er fundet.

Hvornår bør man udføre en pen-test?

Hvordan foregår pen-test?

Vi benytter en velafprøvet metodik i pen-test, som baserer sig på mange års erfaring:

1. Aftal omfang og spilleregler
   Sammen med kunden aftaler vi omfanget af testen. Pen-tests kan variere meget i omfang og i denne fase vil vi aftale hvilke systemer der skal omfattes af testen, hvilke metoder der kan anvendes og hvilke regler der i øvrigt skal gælde. Vi aftaler også hvornår testen foregår (typisk over 7-15 dage) og hvilke personer hos kunden der skal informeres om igangværende test-aktiviteter eller fundne kritiske sårbarheder, der kræver omgående handling.
2. Indsaml information
   Vi fastlægger hvilken information fra kunden der kan indgå i testen, fx API-dokumentation, arkitekturdokumenter og anden systemdokumentation. Det kan også være kendte bruger-credentials, ip-numre og dns-navne. Dokumenterne tilvejebringes og studeres i denne fase.
3. Rekognoscér
   Vi benytter de aftalte applikationer og indsamler al tilgængelig data om dem og deres adfærd.
4. Modellér trusler
   Ud fra vores forståelse af applikationerne og en øvrige systemarkitektur identificerer vi, hvilke trusler der er aktuelle og deres risikoprofil, dvs. sandsynlighed og konsekvens.
5. Analysér for sårbarheder
   Vi indsamler viden om eksisterende sårbarheder for netop denne type systemer og de konkrete applikationer. Vi tester også for nye og ukendte sårbarheder bl.a. gennem fuzz-tests.
6. Udnyt sårbarheder
   Vi udnytter fundne sårbarheder til at forsøge at fremskaffe følsomme oplysninger eller påføre systemerne skade. Herigennem afdækker vi om sårbarhederne rent faktisk er problematiske eller om de er falske positive.
7. Rapportér
   Vi afrapporterer aktiviteter og fundne sårbarheder i en rapport. Rapporten giver også de testede systemer en karakter som afspejler deres sikkerhedsniveau ift. tilsvarende systemer i samme markedssegment. Rapporten kan benyttes til at dokumentere overfor relevante interessenter (fx revisorer eller investorer) at sikkerheden er på et givet niveau og at det er et område man tager alvorligt. Udfører man flere pen-tests over tid vil man kunne følge udviklingen i karakteren og se om det går den rigtige vej med sikkerheden.

Vi benytter som udgangspunkt denne struktur for rapporten:

1. Executive summary
   Her står alt hvad du behøver vide som ansvarlig beslutningstager, fx antallet af sårbarheder, næste skridt og prisen/konsekvensen ved ikke at gøre noget.
2. Forklaring af test-aktiviteter
   Her beskriver vi de handlinger og valg vi har foretaget og begrunder dem – ud fra en angribers perspektiv. Det giver kunden indblik i hvad vi har testet, hvordan det er sket og hvordan en angriber anskuer systemerne.
3. Teknisk opsummering
   Her gennemgår vi alle de tekniske detaljer, herunder fundne sårbarheder, CVSS score, forslag til håndtering/afbødning og rå data i form af fx requests og responses.
4. Compliance
   Her sammenholder vi resultaterne med den compliance-standard som kunden ønsker. Hvis intet andet er aftalt benytter vi OWASP Top 10.

“Hos Andel har vi haft et meget fint forløb omkring en Pen-Test. Testen er blevet udført grundigt og i god dialog med testholdet. Den afsluttende rapport giver et godt og konstruktivt grundlag for vores videre arbejde med sikkerhed”.

Jeppe Lundgaard, Release Manager, Commercial IT, Andel Energi