Pentesting vs sårbarhetsskanning - hva er forskjellen?

Penetrasjonstesting og sårbarhetsanalyse blir ofte forvekslet for å være samme service. Dette fører til at bedrifter ofte bestiller den rimeligste uten å ta hensyn til virksomhetens sikkerhetsbehov. Så hva er egentlig forskjellen, og når burde man velge penetrasjonstesting fremfor sårbarhetsanalyse og motsatt?

Hva er en sårbarhetsanalyse?

En sårbarhetsanalyse er et automatisert søk etter mulige sårbarheter på systemer og nettverk som forsøkes å utnyttes. Sårbarhetsskanning kan startes manuelt eller kjøres på en planlagt basis, og varer fra så lite som ett par minutter til flere timer.

Etter en sårbarhetsskann er fullført lages det en rapport. Vanligvis vil denne rapporten inneholde en omfattende liste over sårbarheter funnet, og referanser for mer informasjon for sårbarhetene. I noen tilfeller kan den også gi instruksjoner på hvordan man løser det eventuelle problemet. Rapportene identifiserer som sagt sårbarheter, men dessverre så inkluderer den også i mange tilfeller det som kalles falske positiver. Det vil si at sårbarheten ikke er ekte, og det kan være en stor og krevende oppgave å gå igjennom disse. Sjekk derfor de med høy risiko først.

Fordeler

• Automatisk. Kan bli satt til å gjøres hver uke, måned, kvartal eller årlig

• Rimeligere enn penetrasjonstest

• Kan utføres på minutter eller timer i motsetning til penetrasjonstesting som er mer tidskrevende

Ulemper

• Falske positiver

• Man må selv sjekke manuelt hver sårbarhet før man tester igjen

• Bekrefter ikke om en sårbarhet kan bli utnyttet

Hva er pentesting?

Pentesting eller penetrasjonstesting er en manuell prosess utført av eksperter som dykker dypere inn i en bedrift enn en automatisert sårbarhetsanalyse gjør. Dette gjøres igjennom informasjonshenting om bedriften, sårbarhetsskanning og utnyttelse av sårbarheter de har funnet. Sikkerhetsekspertene vil se spesielt etter sikkerhetsproblemer som en sårbarhetsskanning sliter med å oppdage, og prøve å utnytte de. Dette gjøres ved å bruke forskjellige metoder som SQL-injection, XSS attack, og password cracking.

Penetrasjonstester er en detaljert og effektiv tilnærming til å finne og behandle sårbarheter i programvareapplikasjoner og nettverk. Resultatet av en penetrasjonstest kommer i en lang og detaljert rapport som inneholder en beskrivelse av angrep som ble brukt på sårbarhetene, testmetoder og forslag til utbedring. Dette vil hjelpe bedriften med å tette sikkerhetshull som en angriper kan utnytte.

Fordeler

• Manuelle tester betyr mer nøyaktighet og grundigere resultat

• Utelukker falske positive

• Får en detaljert rapport om hvordan sårbarhetene kan bli utnyttet og hvordan fikse sårbarhetene i systemene.

• Bedriften kan begrense hva som skal testes

Ulemper

• Tid. Det kan kreve alt fra 1 til flere måneder avhengig av hvor mange enheter og ansatte det er i virksomheten

• Koster mer en sårbarhetsskanning

Skal du velge pentesting eller sårbarhetsanalyse?

Begge testene jobber sammen for å få til best mulig nettverks- og applikasjonssikkerhet. Sårbarhetsskanninger er utmerket for ukentlig, månedlig eller kvartalsvis innsikt i nettverksikkerheten din, mens pentesting er en veldig grundig metode for å undersøke den helhetlige nettverkssikkerheten din på. Pentesting kan være kostbart, men du betaler en profesjonell for å undersøke hver krik og krok i virksomheten din etter mulige kompromisser med taktikker og metoder en digital angriper ville gjort. Pentesting er derfor ypperlig å jevnlig eller ved en stor endring, mens sårbarhetsskanning kan man utføre oftere selv for å kontrollere at kjente sårbarheter er fikset. Dette er den proaktive måten å tenke på cybersikkerhet på.

Bli kontaktet av en sikkerhetsekspert

Cyberon Security tilbyr sårbarhetsskanning og pentesting for små og store virksomheter. Vi følger Penetration Testing Execution Standard (PTES) sitt rammeverk, som fokuserer på seksjonene nettverk, webapplikasjoner og sikkerhetskultur.

Ingen pentester er like, og vi planlegger dette sammen med deg for å skreddersy utførelsen tilrettelagt deres ønsker, infrastruktur og størrelse på virksomheten.

Snakk med oss om pentesting av din virksomhet.