Knowit Secures Blogg

Spetskonsulten med det stora hjärtat

Penetrationstester – varför blir det så fel?

säkerhet24Först publicerad 2013-10-03 i Computer Sweden.

Krönika ”Ett penetrationstest ska i slutändan generera rätt risknivå och mer pengar åt våra kunder.” Säkerhetskonsult Åsa Schwarz efterlyser en ny inställning.

Anlitar du en säkerhetsspecialist vill du få reda på hur du kan skydda dig på bästa sätt.  Svårare än så är det inte. Tyvärr blir resultatet ofta något helt annat, till exempel när det gäller penetrationstester. Det är dags att vi i branschen tar oss i kragen och börjar leverera det som kunden verkligen behöver.Trots att det är år 2013 får vi fortfarande ofta förfrågan om så kallade black-box-tester. Det vill säga att vi endast får reda på en adressrymd som ska testas. Allt annat är hemligt. Motiveringen är att det ska vara så naturtroget som möjligt. Penetrationstestarna får leka cowboys och visa vad de går för. Kunderna blir imponerade om de tar sig in. Då borde väl allt vara frid och fröjd? Ja, om målet hade varit att testa den tekniska kompetensen hos testarna.Problemet är att vi missar det som är viktigt för våra kunder. För det första diskuterar vi inte vad företaget ska skydda och hur det påverkar det ekonomiska resultatet. Var finns informationen och systemen som är viktiga? Istället arbetar testarna lika mycket med att bevisa att det går att hacka lunchmenyn som affärskritisk information som kan orsaka mångmiljonförluster.

För det andra använder testarna en hel del värdefull tid åt att identifiera och kartlägga utrustning istället för att försöka överlista den. Med andra ord läggs mycket kraft åt att hantera security by obscurity istället för att ge mervärde åt kunden.

Om vi nu ändå har full information, varför blir resultatet bara en lista med tekniska sårbarheter och hur kunderna kortsiktigt täpper igen dem? Ett år senare är arbetet förgäves. Varför pratar vi så sällan om affärsrisker och bakomliggande processer? Varför föreslår vi inte utbildning och ändrade arbetssätt för att nya hål inte ska uppstå?

Nej, nu tar vi oss i kragen och blir bättre. Ett penetrationstest ska i slutändan generera rätt risknivå och mer pengar åt våra kunder. Liksom alla andra säkerhetstjänster. Inget annat.

Åsa Schwarz är säkerhetskonsult på Knowit.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Information

This entry was posted on oktober 3, 2013 by in It- och informationssäkerhet, Knowit Secure i media, Säkra nätverk.

Blogginlägg

Följ oss på Twitter

Fel: Twitter svarade inte. Vänta några minuter och uppdatera den här sidan.

Skriv din mailadress här så får du alla nya blogginlägg postade till dig.

%d bloggare gillar detta: