Generelt om sikkerhedsvurderingerne

Selvom vi generelt oplever en god sikkerhed hos vore kunder, har vi alligevel erfaring med at der findes mindst et par meget alvorlige og en håndfuld mere eller mindre alvorlige sikkerhedshuller enten i tilslutningsrouteren, firewallen eller på de bagvedliggende systemer.

Det er samtidigt vor erfaring at majoriteten af web-applikationer er sårbare overfor Cross Site Scripting, SQL Injection attacks og andre mere eller mindre kendte angrebsmetoder. Angreb på selve web-applikationen kan eksempelvis betyde at en hacker kan manipulere med indholdet på hjemmesiden, hente følsomme data direkte fra evt. bagvedliggende databaser eller helt enkelt tage fuld kontrol over serveren.

Hvorfor foretage en sikkerhedsvurdering

En sikkerhedsvurdering har til opgave at give vished om at det sikkerhedsniveau man forventer at have reelt er gældende. Dette kan udtrykkes i følgende sætning: Sikkerhed uden kontroller er falsk sikkerhed. En sikkerhedsvurdering er det bedste middel for dem der ønsker en proaktiv og forebyggende sikring af it-aktiverne.

Analyse og planlægning

For at sikre mindst mulige driftsforstyrrelser og andre uhensigtsmæssigheder tilrettelægger en konsulent fra Ezenta en gennemførelse af sikkerhedsvurderingen i samarbejde med den netværks- eller sikkerhedsansvarlige. Der indsamles relevant information, og netværket dokumenteres med udgangspunkt i den nærværende aftale. Herefter aftales der præcist hvilke komponenter/elementer i netværket der skal testes og hvornår de pågældende test udføres. Disse informationer samles og indgår i den projektplan som Ezenta udfærdiger. Fortrolighedserklæring samt aftale omkring gennemførelse af test og scanninger underskrives.

Gennemførelse

Metoden der anvendes i denne sikkerhedsvurdering er baseret på OSSTMM (Open Source Security Testing Methodology - www.osstmm.org). Metoden er en standard der anvendes til Internet Security Testing. Den sikrer en ensartet gennemførelse af standard test procedurer og scanninger. Metoden giver samtidig grundlaget for en ensartet dokumentation.

Der udføres en lang række systematiske angreb på installationen. Dette sker ved hjælp af udvalgte kommercielle sårbarhedsscannere, offentlige tilgængelige scannere, Ezentas egne proprietære værktøjer samt manuelle test udført af sikkerhedsspecialister.

Dokumentation / rapport

Resultatet af sikkerhedsvurderingen afleveres i en overskuelig rapport, der giver en status på komponenters sikkerhedsniveau herunder identifikation af kendte sårbarheder.

Rapporten besvarer blandt andet:

• Hvilke sårbarheder er fundet i systemet?
• Hvor alvorlige er de?
• Hvordan kan man rette op på dem?

Rapporten udarbejdes på danske eller engelsk og indeholder et ledelses resumé bestående af en kort opsummering og konklusion. Denne vedlægges en detaljeret teknisk specifikation (på engelsk), der kan benyttes til at lukke evt. identificerede sikkerhedshuller på en nem og overskuelig måde. Rapporten klassificerer de identificerede sårbarheder, således at der er mulighed for at fokusere på at løse de sikkerhedsopgaver, der giver det største udbytte.

Præsentation

Den færdige rapport præsenteres personligt på et møde, hvor eventuelle spørgsmål og usikkerheder kan afklares og indholdet diskuteres.