Pentesting som styrker IT-sikkerheten din

Hva er pentesting?

Pentesting er en metode for å evaluere sikkerheten til en IT-infrastruktur ved å simulere et angrep fra ondsinnede aktører. Dette inkluderer identifisering og utnyttelse av sårbarheter for å vurdere hvilke forbedringer som trengs for å beskytte systemene bedre.

Våre tjenester for pentesting / sikkerhetstesting

Webapplikasjon pentesting

Våre konsulenter utfører manuell sikkerhetstesting av webapplikasjoner ved hjelp av profesjonelle analyseverktøy som for eksempel Burp Suite Pro. Testingen omfatter en grundig gjennomgang av applikasjonens grensesnitt, inndatahåndtering og integrasjons-APIer. Konsulentene gjør seg først kjent med applikasjonens forretningslogikk for å forstå hvordan funksjonalitet og tilgangsstyring er tiltenkt å fungere. Deretter undersøkes muligheter for privilegieeskalering, uautorisert tilgang eller innsyn i andre brukeres informasjon.

Identifiserte sårbarheter blir alltid verifisert gjennom manuell testing for å sikre nøyaktige resultater og eliminere falske positiver

Ekstern pentesting 

Ekstern pentesting verifiserer alle eksterne angrepsflater et selskap kan ha. Dette kan utføres på to måter:

• Black box: Ingen informasjon gis til testerne, som må finne eiendelene ved bruk av teknikker en trusselaktør ville brukt.
• White box: Listen over eiendelene som skal testes er kjent, og teamet fokuserer på disse.

Denne testen kartlegger også eksterne ressurser som selskapet kanskje ikke er klar over. Vi bruker de samme verktøyene og teknikkene som ekte trusselaktører for å finne sårbarheter i offentlige enheter og applikasjoner.

• Kartlegging ved bruk av OSINT
• Manuell og automatisk analyse
• Utnyttelse av funne sårbarheter

Intern pentesting 

Intern sikkerhetstesting baserer seg på et «assume breach»-scenario, hvor det antas at trusselaktøren allerede har tilgang til selskapets interne nettverk. Målet er å identifisere og utnytte sårbarheter for å eskalere privilegier og bevege seg lateralt innenfor nettverket.

• Evaluere effektiviteten av sikkerhetskontroller og SOC
• Identifisere og adressere sårbarheter innenfor eget nettverk
• Forbedre sikkerhetsnivået og sikre samsvar med forskriften.
• Finne feilkonfigurasjoner og sårbarheter som ikke fanges opp av skannere

Cloud pentesting

Gjennom årene har skytjenesteinfrastruktur blitt stadig mer utbredt i kundemiljøer gjennom bruk av skytintegrasjoner, programvare som en tjeneste (SaaS) og plattform som en tjeneste (PaaS) tilbud. Penetrasjonstesting av skytjenester er en metode for å evaluere sikkerheten til disse skybaserte systemene ved å identifisere og utnytte sårbarheter som kan utgjøre en risiko for virksomheten.

Ved pentesting av skytjenester finner vi sårbarheter i skybaserte systemer og vurderer hvor stor risiko de utgjør for virksomheten.

Vårt team kan utføre pentesting av de ledende skytjenesteleverandørene, inkludert, men ikke begrenset til:

• Microsoft Azure
• Amazon Web Services
• Google Cloud Platform

Fysisk pentesting

Fysisk pentesting simulerer innbruddsforsøk for å identifisere svakheter i et selskaps fysiske sikkerhet.Vi tester fysisk sikkerhet ved forsøk på å få tilgang til kontorer og interne IT-systemer.

• Forsøk på fysisk tilgang til kontorer
• Forsøk på tilgang til interne IT-systemer gjennom tekniske rom eller usikrede nettverk

Simulert phishing og sosial manipulering

Phishing er den mest brukte angrepsmetoden av cyberkriminelle. Våre phishing-øvelser kan integreres i din bevisstgjøringskampanje, og inkluderer øvelser med økende vanskelighetsgrad.

Redteam øvelse / beredskapsøvelse

En Redteam-øvelse demonstrerer risikoen fra avanserte trusselaktører ved å etterligne ekte angrep. Dette inkluderer testing av teknologi, fysisk sikkerhet og mennesker.

• Teknologi: Internett-eksponerte tjenester og interne IT-nettverk
• Fysisk: Bygninger, kontorer og infrastruktur
• Mennesker: Ansatte, kunder og klienter

Penetrasjonstesting, også kjent som pentesting, er en metode for å evaluere sikkerheten til en IT-infrastruktur ved å simulere et angrep fra ondsinnede aktører. Dette inkluderer identifisering og utnyttelse av sårbarheter for å vurdere hvilke forbedringer som trengs for å beskytte systemene bedre.

Våre tjenester for penetrasjonstesting / sikkerhetstesting

Webapplikasjon penetrasjonstest / sikkerhetstest

Våre konsulenter utfører manuell penetrasjonstesting av web applikasjoner. Testingen fokuserer på webapplikasjoners grensesnitt, inndatafelt og integrasjons-APIer. Testerne vil først gjøre seg kjent med forretningslogikken, og deretter forsøke å eskalere privilegier eller få tilgang til andre brukeres informasjon. Vi bruker også manuell testing for å verifisere sårbarheter avdekket.

Alle tester utføres i henhold til den nyeste OWASP TOP 10-standarden,  OWASP Web Security Testing Guide (WSTG) versjon 4.2 og ved forespørsel er det mulig å utføre en OWASP ASVS (Application Security Verification Standard) gjennomgang, hvor teamet vil verifisere tekniske sikkerhetskontroller sammen med utviklerne for å skreddersy sikkerhetskravene til den testede applikasjonen.

Ekstern penetrasjonstest / sikkerhetstest

Ekstern penetrasjonstesting verifiserer alle eksterne angrepsflater et selskap kan ha. Dette kan utføres på to måter:

• Black box: Ingen informasjon gis til testerne, som må finne eiendelene ved bruk av teknikker en trusselaktør ville brukt.
• White box: Listen over eiendelene som skal testes er kjent, og teamet fokuserer på disse.

Denne testen kartlegger også eksterne ressurser som selskapet kanskje ikke er klar over. Vi bruker de samme verktøyene og teknikkene som ekte trusselaktører for å finne sårbarheter i offentlige enheter og applikasjoner.

• Kartlegging ved bruk av OSINT
• Manuell og automatisk analyse
• Utnyttelse av funne sårbarheter

Intern penetrasjonstest / sikkerhetstest

Intern sikkerhetstesting baserer seg på et «assume breach»-scenario, hvor det antas at trusselaktøren allerede har tilgang til selskapets interne nettverk. Målet er å identifisere og utnytte sårbarheter for å eskalere privilegier og bevege seg lateralt innenfor nettverket.

• Evaluere effektiviteten av sikkerhetskontroller og SOC
• Identifisere og adressere sårbarheter innenfor eget nettverk
• Forbedre sikkerhetsnivået og sikre samsvar med forskriften.
• Finne feilkonfigurasjoner og sårbarheter som ikke fanges opp av skannere

Cloud  penetrasjonstest / sikkerhetstest

Gjennom årene har skytjenesteinfrastruktur blitt stadig mer utbredt i kundemiljøer gjennom bruk av skytintegrasjoner, programvare som en tjeneste (SaaS) og plattform som en tjeneste (PaaS) tilbud. Penetrasjonstesting av skytjenester er en metode for å evaluere sikkerheten til disse skybaserte systemene ved å identifisere og utnytte sårbarheter som kan utgjøre en risiko for virksomheten.

Vårt team kan utføre penetrasjonstesting av de ledende skytjenesteleverandørene, inkludert, men ikke begrenset til:

• Microsoft Azure
• Amazon Web Services
• Google Cloud Platform

Fysisk penetrasjonstest / Sikkerhetstest

Fysisk penetrasjonstesting simulerer innbruddsforsøk for å identifisere svakheter i et selskaps fysiske sikkerhet.Vi tester fysisk sikkerhet ved forsøk på å få tilgang til kontorer og interne IT-systemer.

• Forsøk på fysisk tilgang til kontorer
• Forsøk på tilgang til interne IT-systemer gjennom tekniske rom eller usikrede nettverk

Simulert phishing og sosial manipulering

Phishing er den mest brukte angrepsmetoden av cyberkriminelle. Våre phishing-øvelser kan integreres i din bevisstgjøringskampanje, og inkluderer øvelser med økende vanskelighetsgrad.

Redteam øvelse / beredskapsøvelse

En Redteam-øvelse demonstrerer risikoen fra avanserte trusselaktører ved å etterligne ekte angrep. Dette inkluderer testing av teknologi, fysisk sikkerhet og mennesker.

• Teknologi: Internett-eksponerte tjenester og interne IT-nettverk
• Fysisk: Bygninger, kontorer og infrastruktur
• Mennesker: Ansatte, kunder og klienter

Vi bruker alltid fast metodikk

Våre konsulenter og penetrasjonstestere benytter alltid fast metodikk for å sørge for nøyaktig og repeterbar testing. Vi baserer oss i hovedsak på annkjente metoder og best practice. (PTES, OWASP)

Når og hvor ofte bør man gjennomføre sikkerhetstesting av systemene

Alle systemer må kontinuerlig bli overvåket og vedlikeholdt i forhold til relevante trusler og sårbarheter. Risikoadministrasjon må gjøres løpende som en pågående prosess for alle sensitive data og kritiske systemer. Det er derfor nødvendig med repeterende og jevnlig sikkerhetstesting.

Vi anbefaler at man som en del av arbeidet med sikkerhetspolicyen definerer hvilket typer tester og frekvensen av testing som er nødvendig for bedriftens forskjellige systemer. Vi anbefaler minst en årlig pentest av selskapet, sammen med en pågående kvartalsvis sikkerhetsskanning.

Gjennom regelmessig pentesting og sikkerhetsskanning kan virksomheten dokumentere sitt sikkerhetsarbeid, fremstå som en ansvarlig aktør og oppfylle kravene i ISO 27001 og PCI DSS.

Tror dere at nettverket er kompromittert?

Mistenker dere at en maskin eller et nettverk kan være kompromittert, bør det undersøkes umiddelbart. Våre konsulenter tilbyr threat hunting for å avdekke skjulte trusler og infeksjoner. Vi arbeider målrettet og pragmatisk, og tilpasser undersøkelsen etter oppdragsbeskrivelsen for å raskt avklare om virksomheten er kompromittert.

Hvorfor velge Fence

Fence har erfarne konsulenter og penetrasjonstestere som er klare til å hjelpe din organisasjon med å sikre sine systemer mot potensielle angrep. Vi bruker de samme verktøyene og teknikkene som ekte trusselaktører for å gi deg en realistisk vurdering av sikkerheten.