Security Testing

Penetrasjonstest, pentest, sikkerhetstest. Kjært barn har mange navn. Uansett hva du velger å kalle det, er det én ting som er helt sikkert:

Noen med dårlige intensjoner trenger bare ett eneste, lite hull i systemene dine for å finne en vei inn, og derfor er det helt avgjørende å finne og tette så mange som mulig av dem.

Ved å ta i bruk de samme verktøyene og metodene som de kriminelle, kan våre erfarne penetrasjonstestere finne disse sikkerhetshullene og gi dere konkrete råd om hvordan de kan tettes – før de blir utnyttet av kriminelle.

Med penetrasjonstester fra Defendable får dere:

Blodfersk og relevant kunnskap om både tekniske, menneskelige og organisatoriske sårbarheter
Konkrete anbefalinger om hvordan dere effektivt kan tette sikkerhetshullene vi finner
Et bedre grunnlag for å håndtere faktisk cyber-risiko
Større oppmerksomhet rundt sikkerhet hos ledelsen og ansatte
Kunnskapsoverføring til IT-folka rundt deteksjon og håndtering av cyberangrep

Når vi har gjennomført en test får dere en grundig rapport med detaljerte forklaringer av sårbarhetene vi har funnet (for det er alltid noen) og konkrete råd til hva dere kan gjøre for å redusere risikoen for cyberangrep. Trenger dere hjelp med å implementere forslagene, har vi selvfølgelig også folk som kan hjelpe.

Defendable APT Simulation

Tradisjonelle pentester gir deg et øyeblikksbilde, men angriperne prøver seg hver eneste dag.

Med vår nye APT-simulering får dere kontinuerlig testing av miljøet deres med de samme metodene angriperne faktisk bruker.

Se hvordan det fungereer

Hva slags tester kan vi gjøre?

APT Simulation

Defendable APT Simulation er vår nyeste testløsning. Den er spesialutviklet for dere som har kjent på begrensningene som kommer naturlig av å gjennomføre en enkelt pentest med ujevne mellomrom.

For selv om en pentest er et verdifullt verktøy for mange, er det ikke til å komme fra at de bare gir et øyeblikksbilde.

Defendable APT Simulation løser dette ved å ta i bruk de samme teknikkene, taktikkene og prosedyrene som ekte angripere over lang tid. Det gjør at våre erfarne etiske hackere kan avdekke flere sårbarheter enn det som er mulig med en vanlig penetrasjonstest.

Dere får selvfølgelig jevnlige rapporter med en status på hva vi har funnet, men vi vil også gi beskjed med én gang hvis vi finner kritiske sårbarheter. Det gjør at dere kan bedre sikkerheten i miljøet hver eneste dag.
Applikasjonstest

Våre erfarne etiske hackere gjør manuelle sårbarhetsanalyser ved å bruke proxy-verktøy som gjør det mulig å manipulere parametere på klientsiden. Testingen fokuserer på webapp-grensesnitt, input-felter og integrasjons-APIer. Det første vi gjør, er å bli kjent med business-logikken før vi prøver å eskalere privileger eller få tilgang til andre brukeres informasjon. Vi gjør også manuell testing for å verifisere sårbarheter som blir funnet av verktøy for automatisk sårbarhetsskanning.

Hvis vi klarer å kompromittere applikasjonen eller infrastrukturen den bygger på, sørger vi for å varsle så fort som mulig. Hvis dere ønsker, kan vi fortsette testen for å se om vi klarer å få tilgang til interne nettverk, servere eller databaser.

Alle våre tester blir gjort i henhold til den nyeste OWASP Top 10-standarden. Vi kan også gjøre OWASP ASVS (Application Security Verification Standard)-gjennomganger hvor våre testere går gjennom tekniske sikkerhetskontroller sammen med utviklerne for å tilpasse sikkerhetskravene til den spesifikke applikasjonen.
Ekstern sårbarhetsskanning

En ekstern sårbarhetsskanning hjelper dere med å identifisere potensielle sikkerhetshull i eksponerte tjenester som webservere, brannmurer og annen nettverksinfrastruktur. Selve skanningen blir gjennomført med automatiserte verktøy som gir et raskt overblikk over statusen på sikkerhet slik en ekstern angriper ville sett det.

Målet er å få oversikt over alle eksponerte tjenester som kan fungere som en inngangsvektor for en angriper. Det gir et øyeblikksbilde av det eksterne sikkerhetslandskapet deres og gjøre det mulig å evaluere og redusere unødvendig risiko.
Vurdering av kildekode

Med en kildekodevurdering går vi grundig gjennom koden som til sammen utgjør applikasjonen og sørger for at den er motstandsdyktig mot cybertrusler. Her vil vi til bunns i hvordan applikasjonen faktisk fungerer og ser typisk etter ting som usikre kodeelementer, dårlig validering av brukerinput, dårlig oppbevaring av API-nøkler og andre hemmeligheter, feil i logikk som kan utnyttes og annet en angriper kan bruke for å skade dere.

Vi gjør gjerne kodegjennomgang sammen med en applikasjonstest. Da kan vi finne frem til den konkrete årsaken til sårbarhetene vi finner under en test og hjelpe dere med å utbedre dem.
Sikkerhetstesting av mobilapper og -enheter

Mobilapplikasjoner

Ved test av mobilapplikasjoner verifiserer vi om Android og iOS-applikasjoner følger siste og beste praksis for applikasjonssikkerhet og at de bruker riktige sikkerhetsmekanismer basert på en trusselmodell for den konkrete applikasjonen.

Testene består av både statisk og dynamisk analyse, og tar derfor for seg både kildekoden og hvordan applikasjonen faktisk oppfører seg under ulike forhold. Vi tester også API-ene appen bruker for å avdekke sårbarheter i disse.

Mobile enheter

Vi kan teste og vurdere sikkerheten i mobile enheter som brukes av ansatte eller kunder (nettbrett, mobiler, skjermer og lignende). Disse testene kan for eksempel bestå av vurderinger av MDM-konfigurasjoner (Mobile Device Management), verifisering av sikkerhetskonfigurering og muligheten for å få tilgang til annen data på enheten.
Sikkerhet i skymiljøer
De siste årene har infrastruktur i skyen blitt en naturlig del av mange miljøer gjennom skyintegrasjoner, Software som tjeneste (SaaS) og Plattform som tjeneste (PaaS)-løsninger.

Vi kan gjennomføre sikkerhetsvurderinger av tjenester som:
- Microsoft Azure
- Amazon Web Services
- Google Cloud Platform
I disse vurderingene fokuserer vi på tilgangskontroll, skylagring, integrasjoner og konfigurasjonsproblemer som for eksempel kan føre til at angripere får tilgang til deres ressurser, eleverte tilganger eller andre scenarioer basert på angrepsscenario og bruk.
Ekstern penetrasjonstest (Utsidetest)
En utsidetest har som mål å avdekke den eksterne angrepsflaten deres, altså hva en angriper uten tilgang til en brukerkonto kan få til.

Disse testene kan i hovedsak gjøres på to måter:
- Black box: Våre etiske hackere får ingen informasjon om miljøet deres og må bruke de samme verktøyene som en angriper ville gjort.
- White box: Vi får en liste med mål som skal testes på forhånd, slik at vi kan fokusere på det dere allerede vet er viktigst.
Disse eksterne testene er også en god måte å få oversikt over ressurser selskapet kanskje ikke kjenner til, men som er tilgjengelige.

Teamet vil bruke de samme metodene og verktøyene som de kriminelle for å finne sårbarheter i tjenester og infrastruktur som er tilgjengelig fra utsiden. Dette gjøres for å forstå hvordan disse kan utnyttes til å enten påvirke selskapet direkte eller skaffe seg tilgang videre inn i miljøet.

Disse testene inkluderer ting som:
- Subdomene-innhenting
- Manuell og automatisert skanning
- OSINT (Open Source Intelligence)
- Utnyttelse av avdekkede sårbarheter
Intern penetrasjonstest (innsidetest)
En innsidetest er basert på et "assume breach"-scenario hvor en trusselaktør allerede har tilgang til nettverket. Dette kan ha skjedd gjennom en stjålet innlogging, phishing og annen sosial manipulering eller en ondsinnet ansatt.

Testen tilpasses til hver enkelt kune, men har vanligvis som mål å finne og utnytte sårbarheter i nettverket som kan brukes til å få flere rettigheter fra startpunktet som en vanlig bruker og en PC uten spesielle tilganger.

Innsidetester er en proaktiv måte å avdekke og tette sikkerhetshull før de kan utnyttes av en trusselaktør. Den simulerer de samme metodene som trusselaktørene bruker og finner svakheter i sikkerhetsmekanismene som finnes i miljøet deres.

Innsidetester hjelper dere med å:
- Identifisere og tette sikkerhetshull
- Evaluere hvor effektive sikkerhetsmekanismene er mot en ekte angriper
- Evaluere hvor effektivt SOC-teamet kan oppdage trusler
- Finne feilkonfigureringer og andre sårbarheter som ikke fanges opp av automatiserte verktøy
Fysiske penetrasjonstester
En fysisk penetrasjonstest simulerer et innbrudd for å finne svakheter i fysiske sikkerhetsbarrierer. Dette er avgjørende for å sikre at en trusselaktør ikke får fysisk tilgang til data- og nettverksutstyr, siden dette ofte gjør at de kan hoppe bukk over tradisjonelle digitale sikkerhetsmekanismer.

Defendable har lang erfaring med fysiske penetrasjonstester som blant annet inkluderer:
- Tester av fysiske sikkerhetsbarrierer
- Tester av prosedyrer gjennom sosial manipulering
- Forsøk på å skaffe seg tilgang til interne IT-systemer gjennom fysisk tilgang eller intern nettverkstilgang
Phsihingøvelser

Phishing er blant de aller mest vanlige inngangsvektorene for cyberkriminelle i dag. En phishingøvelse bruker de samme teknikkene for å avdekke de menneskelige risikoene i selskapet. Hvor enkelt er det egentlig å få en ansatt til å gi fra seg brukernavn og passord på en falsk nettside?

Våre phishingøvelser kan både integreres i sikkerhetsarbeidet du allerede gjør eller utføres på egenhånd for å øke oppmerksomheten rundt cybersikkerhet i selskapet eller være en del av en større kampanje som vi utvikler sammen.

Hvor avansert øvelsen er tilpasses etter avtale med dere, men vanligvis har vi tre ulike øvelser med økende vanskelighetsgrad.
Red Team-øvelse

En Red Team-øvelse bruker elementer fra alle våre andre sikkerhetstester, men forskjellen er at her har våre etiske hackere ett konkret mål.

Det kan være å få tilgang til en spesifikk database, et ekstra viktig serverrom eller noe annet dere har identifisert som kritisk at uvedkommende ikke får tak i.

Dette er komplekse, dyptgående tester som tar i bruk de metodene som trengs for å nå det etablerte målet, enten det handler om fysisk tilgang, digitale innbrudd eller sosial manipulering.

Sammen med en liten gruppe hos kunden (White Team) blir vi enige om hva målet for øvelsen er og rapporterer funn jevnlig underveis.

Red Team-øvelser egner seg best for dere som allerede har god kontroll på sikkerheten, men vil se hvordan dere kan beskytte dere mot en avansert trusselaktør som går målrettet etter deres verdier.
TIBER-øvelse (Threat Intelligence-Based Ethical Red-teaming)

TIBER-rammeverket beskriver en metode for å gjøre trusselbaserte Red Team-øvelser for finansiell sektor. Dette er utviklet av den europeiske sentralbanken (TIBER-EU) og har en norsk implementering i TIBER-NO.

Rammeverket inneholder et sett med spesifikasjoner som må følges gjennom hele prosjektet, og målet er å gjennomføre et prosjekt som er skreddersydd for å simulere et angrep på kundens kritiske funksjoner. Resultatet er at dere får dyp innsikt i styrker og svakheter, slik at dere kan øke cybermodenheten deres.

Prosessen er todelt:

Målrettet trusseletteretning:

Gjennom både avtalen, generelle trusselrapporter og informasjon fra andre kilder vil leverandøren av trusseletteretning identifisere trussellandskapet for kunden. Dette inkluderer de mest aktuelle trusselaktørene, hvordan de jobber og intensjonene deres.

Red Team-fase:

Basert på trusselrapporten i første del, gjennomfører Red Team tester basert på de samme måtene å jobbe på som de identifiserte trusselaktørene.
Sikkerhetstesting av OT (Operasjonell teknologi)

I Defendable bruker vi vår egen metode for å penetrasjonsteste OT-miljøer. Denne er basert på flere ulike bransjestandarder som PTES, IEC 62444 og OWASP, men spesielt tilpasset industrielle miljøer. Dette sørger for at vi alltid er på den sikre siden og ikke forstyrrer produksjonen uten at det er avtalt.

Våre etiske hackere kan teste alle typer enheter, fra PLC-er, HMI, arbeidsstasjoner, servere, nettverksutstyr og IoT-enheter.