Penetrasjonstesting er en metodikk for sikkerhetstesting der et system, applikasjon, nettverk eller infrastruktur, med tillatelse, utsettes for simulerte angrep for å avdekke sårbarheter.
Faktaboks
- Også kjent som
-
etisk hacking
Hensikten er å avdekke sårbarheter ved å bruke de samme fremgangsmåtene og teknikkene som en ondsinnet hacker ville brukt. Penetrasjonstesting er en spesifikk form for etisk hacking som fokuserer på angrep mot et avgrenset system, applikasjon eller infrastruktur. For å oppnå dette vil personer uten stor kjennskap til systemene engasjeres som etiske hackere.
Tidligere var penetrasjonstesting en av de vanligste formene for sikkerhetstesting, og ofte den eneste formen for sikkerhetstesten som ble utført. Penetrasjonstesting har imidlertid noen svakheter:
- At en penetrasjonstest ikke avdekker feil, betyr ikke at systemet er feilfritt
- Det er vanskelig å vite hvor godt penetrasjonstesten er utført, og helt åpenbare feil kan ha blitt oversett
- Kostnaden ved å utbedre feil etter at systemer er satt i drift, er vesentlig høyere enn under utvikling. Løsningene på feilene kan også bli mindre optimale
Av disse grunner er andre former for planlegging og sikkerhetstesting tidligere i design- og utviklingsfasene ofte å foretrekke. Dette omtales som sikker utvikling (software security). Når penetrasjonstesting benyttes sammen med sikker utvikling, er årsaken til at feilen kunne oppstå og hvorfor den ikke ble oppdaget tidligere i prosessen, ofte mer interessant enn selve feilen.
Selv om penetrasjonstesting ofte forbindes med å forsøke finne sårbarheter i et IT-system, er begrepet ikke begrenset til dette. Blant annet er fysiske penetrasjonstester blitt vanligere. Her forsøker man å komme seg uoppdaget forbi adgangskontroll i bygninger for å utføre handlinger, som å komme seg inn i serverrom eller få tilgang til sensitive dokumenter. Også penetrasjonstester mot brukere basert på sosial manipulering blir stadig vanligere.
Etiske hensyn er avgjørende i penetrasjonstesting. Det er svært viktig at testeren har fått eksplisitt tillatelse fra systemets eier, og at det foreligger en godt utformet avtale som klargjør hva som er tillatt og hva som ikke er tillatt. Avtalen bør også inneholde bestemmelser om taushetsplikt og konfidensiell behandling av informasjon som angrepene kan gi tilgang til.
I en mer teknisk rettet penetrasjonstest er verktøy som Metasploit, Burp Suite, Wireshark og Nmap mye brukt.
Kommentarer
Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.
Du må være logget inn for å kommentere.