Penetrationstest - din vished for sikkerhed
Mangel på it-sikkerhed kan have katastrofale konsekvenser for en virksomhed. Mistede data, afsløring af fortrolige oplysninger, midlertidig nedlukning af funktioner og et efterfølgende imagetab er blot nogle af de negative følger, som ubudne gæster i dit it-system kan medføre.
PricewaterhouseCoopers’ metode for penetrationstest
Ved større udviklingsprojekter eller implementering af nye systemer skræddersyr PwC en projektorienteret sikkerhedstest. For enkeltstående systemer, der allerede er i drift, udføres typisk en traditionel penetrationstest.
Projektorienteret sikkerhedstest
Udbyttet er at sikre en effektiv risikostyring i hele projektet. Samtidig har penetrationstesten et risiko- og forretningsbaseret fokus og leverer et resultat, som kan kombineres med processer for risikostyring og -vurdering
Forløb for den projektorienterede sikkerhedstest
- Projektopstart med afstemning af forventninger til kommunikation og logistik
- Informationsindsamling, herunder god brancheskik for it-sikkerhed
- Trusselsanalyse samt opstilling af de scenarier, der skal danne grundlag for testen
- Detailplanlægning af testfremgangsmåde
- Opbygning af undersøgelsesarbejdsprogram
- Gennemgang af brugerflade, html-kode og kildekode
- Potentielle svagheder drøftes med kunden
- Traditionel penetrationstest
- Løbende informationsoverførsel og sparring
Traditionel penetrationstest
Løbende penetrationstest fra PwC giver viden om det aktuelle sikkerhedsniveau på de testede enheder,
hvad enten det er internet-tilgængelige systemer, DMZ-systemer, interne servere eller trådløse systemer.
Vores erfaring viser, at minimum 40% af alle højrisiko-sårbarheder findes via manuelle testscenarier og udelukkende vil kunne findes i en kombination af de anvendte værktøjer og spidskompetencer inden for penetrationstest.
Forløb for traditionel penetrationstest
- Indledende identificering og afstemning af target-systemer
- Udførelse af selve testen
- automatiske værktøjer med efterfølgende verificering af resultater
- manuelle og avancerede testcases
- ude-af-drift angreb (DOS) (hvis aftalt)
- avanceret udnyttelse af testresultater til dybdegående
- penetration af systemerne
- Analyse af resultater samt risikovurdering.
- Rapportering og præsentation.
Resultaterne af alle vores tests samles i en rapport, der indeholder et overordnet ledelses-summary med en vurdering af sikkerhedsniveauet og prioriterede anbefalinger.
Sårbarhedsscanninger
PwC tilbyder forskellige niveauer af sårbarhedsscanninger. Vi tilbyder sårbarhedsscanninger på to niveauer i form af den traditionelle sårbarhedsscanner Pro-Scan samt webapplikationsscanneren WebCHK.
Pro-Scan giver dig:
- Sårbarhedskontrol med alle internet-tilgængelige netværk samt enheder med IP-adresser
- Sikkerhed for at jeres internet-tilgængelige enheder ikke er sårbare over for de mest almindelige trusler, såsom vira og orme
- Fleksibel planlægning af regelmæssige scanninger.
- Vished for dit sikkerhedsniveau.
WebCHK giver dig:
- Kontrol af sårbarheder på egenudviklede webapplikationer
- Sikkerhed for at jeres websider, der typisk udgør den største sikkerhedsmæssig risiko, ikke kan bruges som adgang til mere kritiske data
- Fleksibel planlægning af regelmæssige scanninger.
Med PricewaterhouseCoopers Security & Technology som sikkerhedspartner har du mulighed for at sammensætte det optimale niveau for sikkerhedstest af dine systemer.
Download en detaljeret beskrivelse af PwCs forskellige former for penetrationstests her.
Kontakt os for en dialog om sikkerhedstest via 3945 3945. Spørg efter ”Security & Technology” eller skriv til os på itsecurity@pwc.dk
