Hopp til hovedinnhold

Penetrasjonstesting

Penetrasjonstesting, ofte kalt «pentesting» eller «etisk hacking», er et simulert angrep (med tillatelse fra eier) på et system. Testen kan ha flere mål, men hovedmålet er å avdekke svakheter som kan benyttes til å kompromittere systemet. Testeren benytter de samme verktøyene og teknikkene og det samme tankesettet som en «ekte» angriper ville ha gjort. En slik test har et avgrenset «scope» som er avtalt på forhånd, dvs en avtale om hva som er innafor å gjøre, hvor lang tid man har til rådighet og hvordan man skal kommunisere med kunden underveis. For at testen skal bli realistisk, kjøres den typisk mot produksjonsmiljøet. Sluttproduktet av en pentest er en rapport som beskriver rammene rundt testen, funnene som ble gjort og forslag til hvordan man kan rette opp i svakhetene.

Testeren har full frihet til å velge verktøy og metodikk selv, kun avgrenset av avtalen med eieren av systemet. Ingen systemer og tester er like, så metodikken og verktøybruken må justeres underveis basert på hva man finner.

Pentester er dyre og krever spesialister. Det er derfor viktig at man gjør så mye statisk og dynamisk analyse man kan selv på forhånd for å plukke den mest lavthengende frukten. Når man er sikker på at man har gjort alt man kan selv, kan det bestilles pentest fra ett eller flere av firmaene vi har avtaler med. Ta kontakt med ISOC-teamet for detaljer.

Savner du noe?

Legg det inn selv på GitHub, si ifra i #security-champion, eller kontakt redaksjonen. Takk! 💖