Derfor bør I lade etiske hackere angribe jeres netværk

“Hvilke muligheder har hackere, hvis de angriber os?” Det er spørgsmålet, mange virksomheder stiller sig selv – ikke mindst på grund af krigen i Ukraine. Det korte svar er: Lad etiske hackere teste jeres cybersikkerhed udefra. Det giver jer et hurtigt overblik over alle potentielle sårbarheder. I Orange Cyberdefense har vi et stærkt hold af specialister, der med hackernes egne værktøjer finder sprækker i jeres cyberforsvar – før det er for sent.

En ting er at forberede et godt forsvar – noget andet er at vurdere det med angribernes øjne. En penetrationstest (pentest) er en sikkerhedsvurdering, der simulerer ondsindede aktiviteter fra den virkelige verdens hackere for at identificere huller i jeres interne/eksterne netværk, systemer og applikationer.

Formålet med pentesting er at få et indblik i hvilke sårbarheder, der findes i jeres netværk og forretningssystemer, hvordan de kan udnyttes, og hvilke konsekvenser det kan få, hvis en angriber har succes.

“I første omgang gælder det om at finde og vurdere alle angrebsflader i den infrastruktur, der vender ud mod internettet. Det er svært at foretage en realistisk risikovurdering, hvis man ikke har fuldt overblik over, hvor man er mest sårbar. Der kan pentesting afsløre huller, som man måske slet ikke ved, man har. Dernæst anbefaler vi, at der også udføres pentest af det interne netværk”, siger Ulrik Ledertoug, Director of Business Development i Orange Cyberdefense.

En af de store udfordringer ved at sætte sig i hackeres sted, er at de tænker anderledes end programmører og interne sikkerhedsmedarbejdere. I stedet for at følge regler og procedurer har hackere og andre it-kriminelle fokus på at bryde dem. Det gør de med stor viden og et særligt mindset. Derfor giver det god mening at hyre dygtige specialister, der tænker på samme måde.

“Som etisk hacker skal man have gode analytiske evner, og stort kendskab til de systemer, man angriber. Man skal også have dyb indsigt i de programmeringssprog, systemerne er skrevet i. Det er vigtigt at have en meget bred viden, fordi man bevæger sig på tværs af forskellige systemer og programmeringssprog. Man skal også have et vist jagtinstinkt. Man skal synes, at jagten er det sjove, og at regler er til for at blive brudt”, forklarer Martin Christensen, pentester i Orange Cyberdefense.

Skjulte sårbarheder kan ofte tilskrives manglende opdatering eller forkerte konfigurationer. Et klassisk eksempel er, at en hacker kan forsøge at uploade kode via dialogfelter på et website. Hvis sitet ikke er programmeret til at forhindre det, kan hackeren ad den vej få adgang til webserveren og derfra til resten af netværket.

“Når vi – efter aftale – angriber et netværk, bruger vi en masse metoder, som kan være svære for interne sikkerhedsfolk at forudsige, fordi vi misbruger systemerne på måder, de slet ikke er beregnet til at håndtere. Ofte får vi også helt nye idéer, som kan være meget effektive, fordi de afslører gabende huller i sikkerheden”, forklarer Martin Christensen.

Når en pentest er gennemført, samles alle identificerede sårbarheder i en overskuelig rapport, hvor de vurderes på en risikoskala fra 0 til 10 af hensyn til prioritering (OWASP) – f.eks. for web-applikationer. Samtidig giver rapporten klare instrukser i, hvordan de kan fjernes. Er der tale om særlig farlige sårbarheder i kategori 9 eller 10 rapporteres de øjeblikkeligt, så de kan blive fjernet hurtigst muligt.

Hvis et cyberforsvar skal testes under maksimalt pres, kan det gøres ved hjælp af en red teaming-øvelse. Her forsøger et “rødt hold” af professionelle pentestere at angribe netværket, mens et “blåt hold” forsvarer det. Rødt hold har typisk bestemte mål, der skal opnås – fx at kryptere eller fjerne værdifulde data fra netværket.

“Pentesting og red teaming fungerer forskelligt. Når vi pentester, leder vi efter sårbarheder på udvalgte servere, men i red teaming er alle servere og systemer i hele netværket mål for vores angreb. Det betyder bl.a., at vi bygger videre på de sårbarheder, vi finder, og bruger dem til at eskalere brugerrettigheder, så vi kan trænge længere ind i netværket – fuldstændig som en rigtig hackergruppe”, siger Martin Christensen.

I både Danmark, Norge og Sverige har Orange Cyberdefense opbygget stærke hold af pentestere, og derfor kan vi bemande røde hold med specialister, som nøjagtigt ved, hvordan de skal angribe netop de infrastrukturer, vores kunder har brug for at få testet. Undervejs udfører vi komplet skanning af alle udpegede angrebsmål med brancheledende metoder som cloud best practices, CREST og MITRE.

“Red teaming giver et fantastisk godt indblik i, hvad der sker, når et angreb finder sted. Hvor hurtigt blev det opdaget? Fungerede beredskabsplanen? Hvor langt kom angriberne? Hele angrebet logges metodisk, så der bagefter kan foretages en detaljeret analyse af, hvor og hvordan forsvaret bør styrkes”, forklarer Ulrik Ledertoug.

Da pentesting og red teaming kræver specialviden, som kun de færreste virksomheder selv råder over, er det typisk en service, der købes hos en partner. Her betaler det sig at vælge en sikkerhedspartner, der også kan tilbyde en bred vifte af markedets bedste sikkerhedsløsninger.

“Når vi indleder et nyt samarbejde med en virksomhed, myndighed eller offentlig organisation, er det en kæmpe fordel for begge parter, hvis vi får mulighed for først at lave Security Assessment og pentest. På den baggrund kan vi analysere det eksisterende cyberforsvar, og det giver os de bedste forudsætninger for at komme med præcise anbefalinger til indsatsområder og forbedringer. Herudover hjælper vi naturligvis også med at levere, implementere, drifte, administrere og overvåge en lang række forskellige sikkerhedsløsninger og Managed Security Services på stort set alle områder inden for cybersecurity”, siger Ulrik Ledertoug.