Grunnprinsipper for IKT-sikkerhet 2.0
Gjennomfør inntrengningstester
Målet med prinsippet: Virksomheten tester elementer i egne forsvarsmekanismer (teknologi, prosesser og personell) ved å simulere målene og handlingene til en angriper.
Hvorfor er dette viktig?
IKT-systemer er under konstant endring og utvikling og utfordres jevnlig av angrepsaktører. Virksomheter bør derfor jevnlig teste egen forsvarsevne for å verifisere etablerte sikkerhetstiltak, identifisere mangler og vurdere egen beredskap. Angripere utnytter ofte svakheter i virksomhetens rutiner. Eksempler på svakheter er:
- For langt tidsvindu fra annonsering av en sårbarhet og sikkerhetsretting fra leverandør, til faktisk installasjon.
- Vide brukertilganger i kombinasjon med svake autentiseringsløsninger (for eksempel bruk av svake passord).
- Mangelfull etablering av sikker konfigurasjon av enheter i IKT-systemet.
- Manglende evne til å forstå egne verdikjeder og avhengigheter mellom systemer.
En inntrengningstest vil gi dypere innsikt, gjennom en faktisk demonstrasjon av hvilken risiko sårbarheter kan utgjøre. Bruk av flere ulike angrepsvektorer og verktøy gir bedret evaluering av sikkerhetsbarrierene og forsvarssystemene i virksomheten.
Anbefalte tiltak: Gjennomfør inntrengingstester
| ID | Beskrivelse |
|---|---|
| 3.4.1 | Planlegg inntrengingstester med tydelig mål og omfang. a) Identifiser viktige deler av informasjonssystemet som bør vektlegges i testingen. b) Identifiser enkeltsystemer eller -komponenter som er så kritiske at de må unntas fra testingen. Dette kan være deler av IKTinfrastrukturen som er kritiske for å opprettholde virksomhetskritiske tjenester eller som ikke er i stand til å tåle en inntrengingstest (eksempelvis sentrale industrielle kontrollsystemer). |
| 3.4.2 | Involver relevante interesseparter i forkant. Tilpass hva slags informasjon som gis ut og til hvem basert på mål og omfang for testen. Eksempelvis vil det ofte være naturlig å informere ekstern driftsovervåkning i forkant av en test, men ikke nødvendigvis brukere og driftspersonell. |
| 3.4.3 | Benytt verktøy for sårbarhetskartlegging og angrepsverktøy. Sårbarhetskartlegging kan benyttes som et utgangspunkt for testen, mens angrepsverktøy benyttes for å utnytte kartlagte sårbarheter. |
| 3.4.4 | Gjennomfør jevnlige inntrengingstester (minst årlige) for å identifisere sårbarheter. Inntrengingstestingen bør gjennomføres a) fra utsiden av virksomhetens nettverksbarrierer (eksempelvis fra internett eller via trådløs kommunikasjon i nærheten av virksomhetens lokaler) for å simulere eksterne angrep og b) fra innsiden av barrierer (eksempelvis på det interne nettverket) for å simulere interne angrep fra kompromittert klient/server eller utro tjenere. |
| 3.4.5 | Test rutiner for deteksjon og beredskap. Hyppigheten vil avhenge av virksomhetens behov, men det bør gjøres minst annethvert år for å opprettholde tilstrekkelige ferdigheter hos involvert personell i virksomheten |
| 3.4.6 | Kommuniser resultater fra inntrengingstester til relevante interesseparter. a) Rapportering fra inntrengingstester og IKT-beredskapsøvelser bør dekke virksomhetens behov. b) Testene bør dokumenteres med en oppsummering (ledelsesoppsummering), oversikt over funn og forslag til forbedringstiltak. |
Utdypende informasjon
Inntrengingstesting er kontrollerte dataangrep som prøver ut motstandskraften i IKT-systemer gjennom målrettede søk og analyser, og forsøk på utnyttelse av identifiserte sårbarheter, feil og mangler. Man simulerer handlingene til en ondsinnet aktør, men testene foregår i en avgrenset tidsperiode mot deler av systemene. Vi skiller ofte mellom to typer tester.
Testing av virksomhetens systemer og komponenter for å identifisere og utnytte sårbarheter.
Målet med en slik test vil være å finne de viktigste svakhetene slik at disse kan utbedres. Det er vanlig å gå bredt ut for å finne så mange sårbarheter som mulig innenfor avsatt tid og omfang. En inntrengingstest kan demonstrere hvordan man kan få tilgang til konfidensiell informasjon, kontroll over deler av IKT-infrastrukturen eller spesifikke tjenester.
Testing av virksomhetens kapasiteter for deteksjon og respons.
Målet er å teste virksomhetens evne til å identifisere og respondere på dataangrep gjennom simulering av faktiske angrep. Denne type tester er ofte mer målrettet og har ikke som mål å finne så mange sårbarheter som mulig.