Vilken typ av penetrationstest är rätt för dig?

Penetrationstester är idealiska för ditt företag när du behöver testa effektiviteten hos dina säkerhetsprotokoll.

Genom att simulera verkliga attacker kan ditt IT-team identifiera sårbarheter i system, utnyttja dem och ge kunskap om hur man hanterar de utpekade säkerhetsområdena. Om du vill ha en heltäckande översikt över de inblandade stegen, här är vår guide om stadierna för penetrationstestning.

Oavsett om det är internt eller externt, kommer ett penetrationstest att simulera attackvektorer. Om det är en extern attack, involverar du en fjärrangripare för att ta reda på den information som är tillgänglig för utomstående. Om det är en intern så utförs den efter den externa och handlar om att identifiera vad en hackare kan åstadkomma med intern åtkomst till ditt system.

Baserat på målen för penntestet kan testaren ha viss kunskap om miljön som testas (eller inte). Om testaren känner till systemet är det en vit ruta. I andra fall kan penetrationstestet rikta sig mot applikationer, nätverkstjänster, social ingenjörskonst, trådlöst eller till och med fysiskt.

Oavsett vilket penetrationstest du väljer, kommer ett bra test alltid att upptäcka sårbarheter och hjälpa till att konsolidera de svaga områdena i ditt system. Men att välja rätt för din organisation kan ta tid och ansträngning, särskilt med flera alternativ att utforska.

Den här artikeln är en sammanfattning av olika typer av penetrationstestning, som förklarar vad varje innebär och när det skulle vara bäst att använda en viss. Och i slutändan får du några tips för att välja det bästa penntestet för din organisations behov.

Penetrationstestning av webbapplikationer

Källa: synopsys.com

Detta penntest syftar till att avslöja mottagligheter som spänner över webbplats- och webbapplikationer som e-handelssystem, kundrelationshanterare och innehållshanteringssystem.

Genom att granska en applikations säkerhet, anpassade funktioner och centrala logikfunktioner reder det här testet upp sätt att eliminera intrång, ekonomiska förluster och identitetsstöld. Innan testningen är testaren utrustad med flera applikationer som ska testas, inmatningsfält som ska screenas och en registrering av de statiska och dynamiska sidorna för enkel utvärdering av design- och utvecklingsbrister.

Vanliga sårbarheter i webbapplikationer är cross-site scripting (XSS), databasinjektion och trasig autentisering. För att ha en djupgående medvetenhet om webbsäkerhet kan du kolla in öppen webbapplikationssäkerhet (OWAP), ett bra arkiv att läsa. Den publicerar information om frekvensen och svårighetsgraden av webbfel från data som samlats in från tusentals applikationer.

Om ditt företag har webbtillgångar är det bäst att överväga webbpenntest. I många moderna organisationsinställningar är webbapplikationer ovärderliga för att lagra och överföra information. För sådana operationsmodeller behövs webbtestning. Statistiken säger det cyberbrottsligheten har ökat efter covid-19-pandemin.

Nätverkspenetrationstestning

Källa: synopsys.com

Nätverkspennetester är säkerhetsrevisioner riktade mot nätverksinfrastruktur, oavsett om du kör lokalt eller molnet. Genom att införa ett brett utbud av kontroller som krypteringssårbarheter, saknade säkerhetskorrigeringar och osäkra konfigurationer, bekräftar dessa test säkerheten för kritisk data i verksamheten.

I det här fallet kan du ha intern eller extern testning. När den är extern har testaren inga förkunskaper om systemet och utnyttjar Internet för att skaffa sig den kunskap som hackare skulle använda vid attacker. Om det är internt ligger fokus på att få tillgång till ditt interna nätverk. Testaren kan till exempel utnyttja sårbarheter i internetanslutna system och försöka komma åt information eller störa verksamheten.

När de utförs skyddar nätverkspennetester ditt företag från vanliga nätverksattacker, såsom felkonfiguration och bypass av brandväggen, routerattacker, attacker på domännamnssystem (DNS), databasattacker och attacker från proxyserver. Ett nätverkstest kommer att passa dig om ditt företags verksamhet involverar vidarebefordran av stora mängder data. Med tanke på hur kritiska nätverkstjänster är för ett företag är det bäst att utföra nätverkstester minst en gång per år.

Penetrationstestning av mobilapplikationer

I mobilapplikationer undersöker penntester applikationer på olika operativsystem (Android och iOS) och deras interaktion med API:er. Bra tester dekompilerar en applikations källkod för att få så mycket information som möjligt.

I det här fallet ligger fokus på applikationsarkitektur – att avkoda den innan man utför manuella tester för att avslöja osäker design och nätverkskommunikation – för att undersöka hur data färdas, datalagring och integritet – för att säkerställa efterlevnad eftersom de flesta applikationer lagrar kritisk data som lösenord och API-nycklar lagrade i string.xml-filer, autentisering och sessionshantering – där tester behöver övervaka sessionshanteringsprocesser som slutet av sessionen, tokens giltighet, lösenordsuppdateringar och felkonfiguration i multifaktorautentisering.

Anta att ditt företag fokuserar mycket på att utveckla mobila applikationer som spel, finansiella tjänster och shopping. I så fall kan du överväga penntester innan du släpper en produkt för allmänt bruk eller rullar ut nya uppdateringar.

Trådlös penetrationstestning

Trådlös testning riktar sig mot din organisations trådlösa nätverk och de enheter som är anslutna till dem. Sådana enheter inkluderar smartphones, surfplattor, datorer och andra Internet-of-things (IoT)-enheter.

Genom penntester kan du gradera säkerhetsnivåerna för trådlösa säkerhetsprogram, upptäcka och utnyttja sårbarheter, förstå hot som presenteras vid varje åtkomstpunkt och generera datadrivna strategier för att åtgärda sårbarheter.

Innan du testar bör du omfånga engagemanget genom att etablera gästnätverk och trådlösa nätverk och tjänsteuppsättningsidentifierare (SSID) som ska nås. Även om processen är mer hårdvarubaserad, kan den göras med hjälp av mjukvaruverktyg i operativsystem med öppen källkod som Kali Linux. För en bra säkerhetskultur kan företag utföra trådlösa tester två gånger om året.

API-penetrationstestning

API-penntestning (ibland tillsammans med mikrotjänster) används för att identifiera API-svagheter. För närvarande ökar det i popularitet eftersom många företag tillåter tredje part att få tillgång till en del av deras data och tjänster.

Testning bekräftar att GraphQL, REST, webbtjänster och andra API:er är säkra och korskontrollerade mot kända sårbarheter. När man testar API:er liknar processen den för webben. Detta i sin tur tillåter användning av liknande verktyg. Men nya verktyg som Postman och Swagger kan komma att introduceras.

Om du vill utforska mer, här är vår checklista över API-utvecklings- och testverktyg. Ofta matas dessa verktyg med ritningen av ett API, och sedan modelleras och skickas skelett-API-förfrågningar mot produkten.

Om ditt företag har webb- eller mobilapplikationer med en API-backend, kan körning av frekventa API-tester hjälpa till att avslöja exponering eller dåliga kodningsdesigner som kan fungera som ingångspunkter för angripare.

Social Engineering Penetration Testing

Till skillnad från andra tekniker fokuserade på tekniska brister, utnyttjar social ingenjörskonst mänsklig psykologi för att bryta mot din organisations säkerhet.

Testerna är fördelaktiga eftersom de identifierar sårbarheter, mäter säkerhetsmedvetenhet, ökar medarbetarnas medvetenhet, minskar risker, förbättrar incidensresponsen, följer regelverk, bygger upp intressenternas förtroende och säkerställer kostnadseffektiv riskhantering.

De vanligaste attackmetoderna inkluderar förevändning, nätfiske, mediadropp/fysisk taktik och tailgating. Sociala ingenjörstester förlitar sig på formation samlad vid spaning; öppen källkodsintelligens används här.

Testaren kan bygga en korrekt målbild för att skräddarsy attacken till lämpliga metoder. Även om det inte är vanligt, som webbtester, kan social ingenjörskonst vara ett utmärkt sätt att identifiera brister i dina operationsmodeller.

Fysisk säkerhet penetrationstestning

Fysisk säkerhetstestning innebär att man får tillgång till en anläggnings fysiska utrymme för att validera effektiviteten av befintliga skyddsåtgärder och kontrollera sårbarheter. Till skillnad från penntester kommer dessa att fungera på fysiska säkerhetsåtgärder som larmsystem, åtkomstkontroller och olika avsnitt med känslig information.

För att genomföra det här testet kan du använda tekniker som fysisk bypass, tailgating och social ingenjörskonst. Resultaten från testet används sedan för att ställa in banan för att åtgärda sårbarheter och förbättra befintliga säkerhetsåtgärder.

Om din organisation eller ditt företag har en fysisk närvaro, till exempel butiker för data och annan känslig information, är det bäst att använda penntester för att stärka säkerheten. I det här fallet gynnas många team, till exempel banker och finansinstitutioner, datacenter, statliga tjänster, sjukhus och hälsovårdsprogram, butiker och köpcentra, tillverkningsanläggningar och certifieringsorganisationer.

Molnpenetrationstestning

Molnpenntest involverar att identifiera och utnyttja sårbarheter i applikationer och infrastruktur, till exempel SaaS, på molnlösningar som Microsoft Azure, Amazon Web Services (AWS) och Google Cloud Platform.

Till skillnad från andra tester kräver molnpenetration en djupgående förståelse för molntjänsterna. Till exempel kan SSRF-svagheten i AWS-applikationer äventyra hela din molninfrastruktur.

Med andra molnlösningar, inklusive Azure AD och AWS Cognito, kommer du att stöta på deras problem och felkonfigurationer. Vanliga molnsårbarheter inkluderar osäkra API:er, svaga referenser, serverfelkonfiguration, föråldrad programvara och osäkra kodningsmetoder.

Molnpenetrationstester kan förbättra molnsäkerheten om ditt företag tillhandahåller molntjänster. Med de flesta molnarbetsgivare som väljer en modell med delat ansvar, kan molntester åtgärda sårbarheter i plattformen, dess nätverk och datalagring.

Behållarpenetrationstestning

Behållare är välkända för sin profilering av operativsystemvisualiseringar. De kan köra mikrotjänster, programvaruprocesser och till och med stora appar. Förutom att titta på behållare ur ett hackers perspektiv, låter behållarepenntesterna dig distribuera anpassade testmiljöer.

När du söker efter sårbarheter finns det två alternativ. Först söker statisk analys efter sårbarheter i behållarbilder. För det andra undersöker dynamisk analys behållarens beteende vid körning. För bättre resultat är det bäst att utföra båda.

Containers sårbarheter spänner över applikationer, konfiguration, nätverk och bildoperativsystemet. Om din DevOps kretsar kring Docker för penetrationstestning kan du anpassa dina behållare, berika dem med alla nödvändiga verktyg, minska sårbarheter och effektivisera den övergripande funktionaliteten.

Databaspenetrationstestning

Databaser är ovärderliga i företag. Databaser som innehåller känsliga uppgifter som betalningsuppgifter, kundinformation och produkt- och prisuppgifter utsätter företag för risker om de äventyras. För att upprätthålla adekvat säkerhet genomförs tester innan de går live med en ny produktdatabas och regelbundet för befintliga.

Genom att försöka komma åt databasen, som en hackare, med hjälp av bästa branschpraxis, pekar databastester på hur du hanterar faktiska attacker.

Vanliga databashot inkluderar SQL-injektioner, ohämmade privilegier, dåliga granskningsspår, exponerade säkerhetskopior, felaktig konfiguration, denial of service (DoS) och dålig datahantering. Tester avslöjar sårbarheter i din databas och säkerställer att all känslig information är skyddad från inkräktare. Det är därför företag bör investera i databassäkerhet.

IoT-penetrationstestning

Internet of Things omfattar en sammankoppling av webbenheter som kommunicerar och utbyter data via Internet. Dessa enheter inkluderar fysiska föremål, fordon och byggnader medan de är inbäddade med programvara, sensorer, elektronik och nätverksanslutningar.

Med IoT-penetration ligger fokus på att undersöka Internet of Things-nätverket och enheter för att upptäcka brister. Dessutom går säkerhetstester utöver enheterna och inkluderar dess kommunikationsnätverk, till exempel molnbaserade datorplattformar.

Dominerande säkerhetsbrister i IoT-enheter är okrypterad data, osäker firmware, svaga lösenord och dålig autentisering/åtkomstkontroll. I takt med att organisationer anammar fler IoT-enheter förstärker IoT-revisioner tillgångar, prestanda och riskhantering och möter efterlevnadsbehov.

Vit box penetrationstestning

För white-box-tester har du en djupgående kunskap om målsystemet, inklusive applikationsarkitektur, källkoder, referenser, vitlistning, olika kontoroller och dokumentation.

Genom att använda detta tillvägagångssätt sparar den vita rutan kostnaden för engagemang. Den vita rutan fungerar bra med komplexa system som kräver höga säkerhetsnivåer, som finansiella företag och regeringar. Genom att införa fullständig kodtäckning kan du räkna upp interna fel.

Om du är under en intrång skulle white box-tester vara det bästa för att undersöka applikationers säkerhet, nätverkstillstånd, fysisk säkerhet och trådlös säkerhet. I andra fall kan du överväga ett white box-test i de tidiga stadierna av programvaran och innan du går till produktion.

Black Box penetrationstestning

Med black box-tester känner du inte till systemet och tar en hackers strategi. Eftersom du inte kan komma åt källkoden eller arkitekturdiagrammet, använder du en utomståendes strategi för att utnyttja nätverket. Detta innebär att testet bygger på dynamisk analys av system och exekverande program i målnätverket.

För att lyckas måste du vara väl insatt i automatiserade skanningsverktyg och manuella penetrationstestmetoder. Du måste också skapa din målkarta baserat på dina observationer. Det är ett snabbt sätt att köra tester, och tiden det tar baseras på din förmåga att hitta och utnyttja sårbarheter. Men om du inte kan bryta mot systemet förblir sårbarheter oupptäckta.

Trots att det är bland de mest utmanande testerna ger det det bästa sättet att utvärdera den övergripande säkerheten för ditt system. Ibland kallas det för ”trial and error”. Men det kräver hög teknisk kompetens.

Red Team Test

Red teaming ser ut som penntester. Men det går längre, tar formen av en verklig hacker och har inga tidsbegränsningar. Du kombinerar verktyg, taktik och tekniker för dessa tester för att komma åt ett målsystem eller data.

Alla andra penntester är inriktade på att avslöja sårbarheter. Röda tester utvärderar dock försvararnas förmåga att upptäcka hot och svara. Detekteringen kan baseras på indikatorer på komprometterade övervakningssystem, fysiska bedömningstester eller till och med social ingenjörskonst. Du kan betrakta röda tester som omfattande, till skillnad från penntester.

På minussidan erbjuder röda tester inte bredden av penetrationstester. De är fokuserade på att komma åt ett system eller data. När deras mål väl är nått söker de inte efter andra svagheter. För penntester är du på att identifiera alla sårbarheter.

Att välja rätt penntest

Det skulle vara bäst om du var väl insatt i alla befintliga modeller för att välja rätt penetrationstest för din organisation. Med denna kunskap kan du koppla ihop din organisation med det företag som passar den bäst baserat på ditt arbetsflöde.

Om du kör webbapplikationer skulle webbtester vara det bästa. API-tester är ett lämpligt alternativ om du erbjuder API:er och backend-utveckling. Och listan fortsätter, med molntester för molnleverantörer.

Listan ovan bör vara en bra utgångspunkt. Det bör hjälpa dig att skilja alla penetrationstester, upplysa dig om dem och avsluta med det bästa användningsfallet för varje. Utöka din kunskap med dessa och andra också.

Kolla sedan in premium penetrationstestprogram för webbapplikationer.