ISMS Guiden 1.0

Search

SearchSearch

3.4 - Gjennomfør inntrengningstester

May 03, 20242 min read

Målet med prinsippet: Virksomheten tester elementer i egne forsvarsmekanismer (teknologi, prosesser og personell) ved å simulere målene og handlingene til en angriper.

Hvorfor er dette viktig?

IKT-systemer er under konstant endring og utvikling og utfordres jevnlig av angrepsaktører. Virksomheter bør derfor jevnlig teste egen forsvarsevne for å verifisere etablerte sikkerhetstiltak, identifisere mangler og vurdere egen beredskap. Angripere utnytter ofte svakheter i virksomhetens rutiner. Eksempler på svakheter er:

  • For langt tidsvindu fra annonsering av en sårbarhet og sikkerhetsretting fra leverandør, til faktisk installasjon.
  • Vide brukertilganger i kombinasjon med svake autentiseringsløsninger (for eksempel bruk av svake passord).
  • Mangelfull etablering av sikker konfigurasjon av enheter i IKT-systemet.
  • Manglende evne til å forstå egne verdikjeder og avhengigheter mellom systemer.

En inntrengningstest vil gi dypere innsikt, gjennom en faktisk demonstrasjon av hvilken risiko sårbarheter kan utgjøre. Bruk av flere ulike angrepsvektorer og verktøy gir bedret evaluering av sikkerhetsbarrierene og forsvarssystemene i virksomheten.

Tilhørende tiltak

TiltakISO 27002
3.4.1 - Planlegg inntrengingstester med tydelig mål og omfang8.8 8.29
3.4.2 - Involver relevante interesseparter i forkant8.8 8.29
3.4.3 - Benytt verktøy for sårbarhetskartlegging og angrepsverktøy8.8
3.4.4 - Gjennomfør jevnlige inntrengingstester (minst årlige) for å identifisere sårbarheter.8.8 8.29
3.4.5 - Test rutiner for deteksjon og beredskap5.30 8.16
3.4.6 - Kommuniser resultater fra inntrengingstester til relevante interesseparter

Utdypende informasjon

Inntrengingstesting er kontrollerte dataangrep som prøver ut motstandskraften i IKT-systemer gjennom målrettede søk og analyser, og forsøk på utnyttelse av identifiserte sårbarheter, feil og mangler. Man simulerer handlingene til en ondsinnet aktør, men testene foregår i en avgrenset tidsperiode mot deler av systemene. Vi skiller ofte mellom to typer tester. Testing av virksomhetens systemer og komponenter for å identifisere og utnytte sårbarheter. Målet med en slik test vil være å finne de viktigste svakhetene slik at disse kan utbedres. Det er vanlig å gå bredt ut for å finne så mange sårbarheter som mulig innenfor avsatt tid og omfang. En inntrengingstest kan demonstrere hvordan man kan få tilgang til konfidensiell informasjon, kontroll over deler av IKT-infrastrukturen eller spesifikke tjenester. Testing av virksomhetens kapasiteter for deteksjon og respons. Målet er å teste virksomhetens evne til å identifisere og respondere på dataangrep gjennom simulering av faktiske angrep. Denne type tester er ofte mer målrettet og har ikke som mål å finne så mange sårbarheter som mulig.

Lenker

  1. NSM - Inntrengingstesting
  2. UK National Cyber Security Center - Penetration testing
  3. CIS CSC 20 - Penetration testing

Graph View

Backlinks