Sådan tester du cybersikkerheden: De største fejl, når du tester din online sikkerhed

Mange organisationer har investeret kraftigt i cybersikkerhed i løbet af de seneste år. Firewalls, EDR, overvågning, SOC-tjenester, bevidstgørelsestræning – listen er lang og bliver ofte længere for hvert år. Alligevel sker der stadig sikkerhedsbrud, selv i virksomheder, der mener, at de har gjort alt rigtigt. En af årsagerne er overraskende almindelig: Organisationen har ikke testet cybersikkerheden på en måde, der afspejler, hvordan angreb fungerer i virkeligheden. 

Hos NetNordic møder vi ofte virksomheder, der har store ambitioner om sikkerhed og gode værktøjer på plads, men som stadig mangler én ting: et klart, målbart svar på et simpelt spørgsmål:Hvad ville der egentlig ske, hvis nogen forsøgte at bryde ind i dag?

Det er her, penetrationstest kommer ind i billedet. Når det udføres korrekt, giver det et klart overblik over noget, der er svært at opnå gennem politikker og dashboards alene. Et realistisk billede af risici, konsekvenser og prioriteter – og dermed også en måde at løse dem på.

Essensen af cybersikkerhed

Cybersikkerhedstest kan betyde mange ting. Sårbarhedsscanninger. Compliance-audits. Konfigurationsgennemgange. Bordøvelser. Alle er værdifulde på hver deres måde. Men penetrationstest (ofte forkortet til pentesting) er noget andet.

En penetrationstest er en kontrolleret simulering af et reelt cyberangreb, udført af etiske specialister. Formålet er ikke at udarbejde en lang teknisk rapport, men at forstå, hvad en hacker kunne gøre, hvis han angreb din organisation lige nu.

Med andre ord forbinder den tekniske svagheder med forretningsmæssige konsekvenser. Og det er netop det, der gør den så værdifuld. Den påpeger ikke kun teoretiske svagheder – den finder alle de små sprækker, som en hacker kan slippe igennem. 

Overholdelse af krav er vigtigt. Reguleringer og rammer har bidraget til at fremme sikkerhedsmæssig modenhed, især for organisationer, der leverer kritiske tjenester eller håndterer følsomme oplysninger. Men det er risikabelt at antage, at overholdelse af reglerne er ensbetydende med sikkerhed.

Compliance fortæller dig, om du har de rigtige kontroller og den rigtige dokumentation på plads. Penetrationstest fortæller dig, om disse kontroller rent faktisk virker, når nogen forsøger at omgå dem. Og den lille forskel er vigtig.

I praksis sker mange brud på sikkerheden i organisationer, der på papiret burde have været beskyttet – fordi angribere leder efter smuthuller uden for reglerne. De leder efter svagheder, der kan kombineres, fejlkonfigurationer, der er sluppet igennem ændringer, og huller mellem værktøjer og teams.

Med andre ord: Hvis overholdelse er udgangspunktet, er penetrationstest verifikationen.

Sårbarhedsscanning spiller en vigtig rolle i cybersikkerhed. Det hjælper dig med at identificere kendte sårbarheder (såsom CVE’er), manglende programrettelser, forældet software og fejlkonfigurationer.

Men scanning er ikke det samme som pentesting. Mens en scanning kan vise dig, hvad der ligner et potentielt problem, kan en pentest fortælle dig, om det potentielle problem faktisk kan udnyttes – og, endnu vigtigere, hvad der sker, hvis det kan. Begge dele er nyttige, men de tjener meget forskellige formål. Og hvis du virkelig vil teste din cybersikkerhed, skal du have klarhed over, hvad hver aktivitet beviser – og hvad den ikke beviser.

En penetrationstest er kun så værdifuld som det omfang, der ligger bag den. Derfor bør det første skridt altid være at definere, hvad der er vigtigst, f.eks.:

• Hvilke systemer er afgørende for din virksomhed?
• Hvad ville være mest skadeligt at miste adgangen til?
• Hvor behandles eller opbevares følsomme data?
• Hvilke tjenester er afgørende for den daglige drift?
  

Uden denne tilpasning kan testningen blive enten for overfladisk eller for bred. Og i begge tilfælde ender organisationen med resultater, som kan være vanskelige at handle på. I NetNordic, ser vi ofte, at afgrænsningsproblemer antager en af følgende former:

At teste “noget” i stedet for det, der betyder noget

Nogle organisationer planlægger en pentest, fordi det føles som det rigtige at gøre. Men ved at gøre dette ender testen ofte med at målrette sig mod det nemmeste miljø, ikke det vigtigste.

Undervurdering af hybride IT-miljøer

Selv organisationer, der prioriterer cloud, er stadig afhængige af kritiske tjenester: Identitets- og adgangsstyring, slutpunkter, SaaS-værktøjer, integrationer og i mange tilfælde lokal infrastruktur. Overgangen til cloud ændrer landskabet, men fjerner ikke risikoen – den flytter den blot.

Manglende afhængigheder og tredjeparter

Din sikkerhedstilstand defineres ikke kun af det, du kontrollerer internt. Leverandører, underleverandører, outsourcede tjenester og specialbyggede systemer bliver ofte blinde vinkler. Jo mere komplekst økosystemet er, desto vigtigere er det at inkludere disse afhængigheder i teststrategien.

Et stærkt anvendelsesområde er forretningsdrevet og kan fokusere på:

• CRM-systemer og kundedata
• HR-platforme og identitetsadgang
• Systemer, der understøtter produktions- og driftsprocesser
• E-mail og kontorapplikationer
• Kritiske infrastrukturkomponenter (hvor det er relevant)
  

Målet er ikke at teste alt på én gang. Målet er at teste det, der er vigtigst først. Og ideelt set at fortsætte med at teste for at forblive beskyttet, selv gennem interne eller eksterne ændringer.

Traditionel penetrationstest udføres ofte en gang om året. Nogle gange endnu sjældnere. Og ærligt talt er denne tilgang forståelig, da penetrationstest historisk set har været tidsbegrænset, manuel og konsulentstyret. Men det passer ikke godt sammen med den måde, moderne IT-miljøer udvikler sig på.

I dag er de fleste organisationer i konstant forandring. Forandringer kan være små eller store og kan se således ud:

• Nye SaaS-værktøjer introduceres
• Cloud-konfigurationer justeres
• Brugere og rettigheder skifter
• Nye leverandører er kommet om bord
• Systemer bliver patchet, opgraderet, udskiftet eller integreret
  

Samtidig arbejder angribere kontinuerligt. De venter ikke på dit årlige testvindue, og de kan endda arbejde i ugevis eller måneder for at finde en måde at omgå dine sikkerhedsforanstaltninger på.

Det er dog vigtigt at huske, at en penetrationstest er et øjebliksbillede. Den viser, hvordan tingene så ud på det pågældende tidspunkt. Udfordringen er, at miljøet kan se anderledes ud en måned senere. Derfor går flere organisationer over til løbende validering, hvor testning bliver en del af sikkerhedsdrift snarere end en årlig milepæl.

Angribere stoler sjældent på en enkelt sårbarhed. Faktisk sker de fleste succesfulde angreb, fordi små svagheder kombineres:

• Forkerte konfigurationer
• Udsatte tjenester
• Svage eller genbrugte legitimationsoplysninger
• Brugerkonti med for mange tilladelser
• Mangler i overvågningsdækningen
• Utilstrækkelig segmentering
• Menneskelige fejl og social manipulation
  

Penetrationstest er værdifulde, fordi de afspejler denne virkelighed. De viser, hvad der sker, når flere svagheder kan kædes sammen til en reel kompromittering.

Afhængigt af omfanget kan en test også omfatte menneskelige angrebsmetoder såsom phishing-simuleringer eller forsøg på identitetstyveri – for i mange tilfælde er den hurtigste vej ind stadig gennem mennesker.

For ledelsesteams er dette en vigtig ændring i tankegangen: Cybersikkerhed handler ikke kun om tekniske kontroller. Det handler også i høj grad om mennesker, processer og den måde, organisationen reagerer på, når der udøves pres.

En almindelig antagelse er, at organisationen er beskyttet, hvis den har de rigtige værktøjer. Firewalls, EDR, SOC-overvågning, identitetskontrol og alarmer er alle vigtige elementer. Men værktøjerne kan stadig have huller, hvis de ikke er konfigureret korrekt, vedligeholdes løbende og valideres i forhold til reelle angrebsscenarier.

I mange organisationer kan der opstå blinde vinkler, fordi:

• Kompleksiteten øges med størrelsen
• Synligheden er fragmenteret på tværs af teams og leverandører
• Outsourcede miljøer reducerer den direkte kontrol
• Specialbyggede systemer følger ikke standard sikkerhedsmønstre
• Forsyningskæden bliver et reelt angrebsmål
  

Pentesting er en praktisk måde at kontrollere, om dine sikkerhedsforanstaltninger fungerer som et samlet system og ikke blot som en samling af produkter.

Hvordan ser en penetrationstest af høj kvalitet ud?

En god penetrationstest skal ikke kun levere resultater. Den skal også give indsigt og prioritere. Og vigtigst af alt skal den give et klart billede af, hvor svaghederne er, og hvilke trusler disse svagheder kan medføre.

Og endelig – det skal være et samarbejde. Sikkerhed er ikke noget, man kan outsource og glemme. Det fungerer bedst, når organisationen og sikkerhedspartneren arbejder sammen som et team.

Manuel penetrationstestning kontra kontinuerlig validering: Hvorfor de fleste organisationer har brug for begge dele

Manuel penetrationstest er stadig afgørende. Menneskets kreativitet, erfaring og evne til at tænke som en hacker er svær at efterligne. Men manuel test har også sine begrænsninger. Den er typisk tidsbegrænset, periodisk og vanskelig at gentage med høj frekvens. 

Derfor kombinerer mange organisationer manuel pentesting med kontinuerlige valideringsmetoder. Mens manuel pentesting giver dybde, kreativitet og skræddersyede undersøgelser, hjælper kontinuerlig validering med at sikre, at sikkerhedskontroller stadig fungerer, når miljøerne ændrer sig.

Den mest effektive tilgang er ofte en hybridmodel: Kontinuerlig sikkerhed for daglig tillid og periodiske manuelle tests for dybere vurdering, højrisikosystemer og compliancebehov.

Test cybersikkerheden for at mindske usikkerheden – ikke bare for at sætte et flueben

Penetrationstest handler ikke om at bevise, at en organisation er usikker. Det handler om at fjerne usikkerhed.

I et trusselsbillede, hvor angribere er vedholdende, og miljøerne konstant ændrer sig, bliver evnen til at teste cybersikkerhed kontinuerligt og realistisk en central del af moderne sikkerhedsledelse. For i sidste ende kommer tillid ikke af at have kontrolforanstaltninger på plads.

Det kommer af at vide, at de virker.

Læs mere om vores cybersikkerhedssager her.