Mangel på it-sikkerhed kan have katastrofale konsekvenser for en virksomhed. Mistede data, afsløring af fortrolige oplysninger, midlertidig nedlukning af funktioner og et efterfølgende imagetab er blot nogle af de negative følger, som ubudne gæster i dit it-system kan medføre.
PwC's metode for penetrationstest
Ved større udviklingsprojekter eller implementering af nye systemer skræddersyr PwC en projektorienteret sikkerhedstest.
For enkeltstående systemer, der allerede er i drift, udføres typisk en traditionel penetrationstest. Det kan dog også være relevant at gennemføre en mere omfattende sikkerhedstest af systemer, der allerede er i drift, f.eks. hvis der er en ny kritisk anvendelse af systemet eller hvis eller hvis systemet ikke nåede at blive sikkerhedstestet inden det oprindeligt blev sat i drift. Her skræddersyr også gerne en sikkerhedstest ud fra vores projektorienterede sikkerhedstest.
Endelig bør man følge op med regelmæssige sikkerhedsscanninger, for at afsløre om sikkerhedsniveauet forringes over tid.
Projektorienteret sikkerhedstest
Udbyttet er at sikre en effektiv risikostyring i hele projektet. Samtidig har penetrationstesten et risiko- og forretningsbaseret fokus og leverer et resultat, som kan kombineres med processer for risikostyring og -vurdering.
Forløb for den projektorienterede sikkerhedstest
- Projektopstart med afstemning af forventninger til kommunikation og logistik
- Informationsindsamling, herunder god brancheskik for it-sikkerhed
- Trusselsanalyse samt opstilling af de scenarier, der skal danne grundlag for testen
- Detailplanlægning af testfremgangsmåde
- Opbygning af undersøgelsesarbejdsprogram
- Gennemgang af brugerflade, html-kode og kildekode
- Potentielle svagheder drøftes med kunden
- Traditionel penetrationstest
- Løbende informationsoverførsel og sparring
Traditionel penetrationstest
Løbende penetrationstest fra PwC giver viden om det aktuelle sikkerhedsniveau på de testede enheder,
hvad enten det er internet-tilgængelige systemer, DMZ-systemer, interne servere eller trådløse systemer.
Vores erfaring viser, at minimum 40% af alle højrisiko-sårbarheder findes via manuelle testscenarier og udelukkende vil kunne findes i en kombination af de anvendte værktøjer og spidskompetencer inden for penetrationstest.
Forløb for den traditionelle penetrationstest
- Indledende identificering af specifikke trusler og opstilling af testscenarie for target-systemerne
- Udførelse af selve testen
- Analyse af resultater samt risikovurdering
- Rapportering og præsentation
Resultaterne af alle vores tests samles i en rapport, der indeholder et overordnet ledelses-summary, der konkluderer på det overordnede sikkerhedsniveau i løsningen og prioriterede anbefalinger. Vi rapporterer ligeledes om de specifikke sårbarheder, som vi identificerer under testen, samt om den risiko, som de medfører, og giver specifikke tekniske anbefalinger til udbedring af sårbarhederne.
Sikkerhedsscanninger
Sikkerhedsscanninger er en effektiv metode til at identificere hvordan jeres it-infrastruktur faktisk er sat sammen og til at undersøge om den indeholder kendte sikkerhedsproblemer. Ved at foretage en regelmæssig sikkerhedsscanning kan man således på en effektiv måde få et yderst kvalificeret bud på, om et givent sikkerhedsniveau opretholdes over tid. Sikkerhedsscanninger kan også anvendes i kortere projektforløb f.eks. til kvalitetssikring om ændringer i opsætning af netværk eller applikationer følger givne sikkerhedsforskrifter.
Vi tilbyder at gennemføre en række forskellige sikkerhedsscanninger ved brug af de nyeste og mest anerkendte scanningsværktøjer:
- Sårbarhedsscanninger af faste hosts. Indeholder jeres hosts og services kendte sikkerhedsfejl?
- Discoverycanninger. Hvordan ser jeres netværk ud for en potentiel angriber? Er der adgang til services og hosts, som der ikke burde være?
- Sårbarhedsscanning målrettet bestemte applikationer. Introducerer I eller jeres leverandører sikkerhedsproblemer når egenudviklede applikationer opdateres?
Vores sikkerhedseksperter planlægger et scanningsforløb, der er tilpasset netop jeres behov hvad end I er interesseret i at afdække interne eller eksterne trusler. Vi kombinerer gerne scanningstyper og afpasser frekvens og afrapportering, så I får størst mulig værdi ud af forløbet.
I et samarbejde med PwC får du...
PwC som sikkerhedspartner har du mulighed for at sammensætte det optimale niveau for sikkerhedstest af dine systemer.
Ring til os for en dialog om sikkerhedstest af dine systemer, eller udfyld kontaktformularen på en af vores specialister øverst til højre.
