De fem populære standardene for sikkerhetstesting

Penetrasjonstestere kan levere et bredt spekter resultater, avhengig av hvilke standarder og metoder de benytter seg av. De nyeste standardene og metodene for penetrasjonstesting gir en verdifull merverdi for selskaper som trenger å sikre systemene sine og å tette sikkerhetshull.

De fem populære standardene for sikkerhetstesting

Her er de 5 penetrasjonstestmetodikkene og standardene:

OSSTMM
OSSTMM-rammeverket, en av de mest anerkjente standardene i bransjen. Det er en vitenskapelig metode for testing av datanettverker og andre sårbarheter. Dette rammeverket inneholder en omfattende guide for testere for å identifisere sikkerhetsproblemer i et nettverk (og tilhørende komponenter) fra forskjellige potensielle angrepsvinkler. Denne metodikken er avhengig av testernes brede kunnskap og erfaring, samt logisk tenking for å tolke de identifiserte sårbarhetene, og de potensielle utslagene på nettverket.

OSSTMM-metoden (Open Source Security Testing Methodology Manual) gjør det mulig for testere å tilpasse vurderingen slik at de i tråd med de spesifikke behovene eller den teknologiske konteksten til bedriften din. Med disse standene får du en nøyaktig oversikt over sikkerheten til nettverket ditt, samt pålitelige løsninger tilpasset til din teknologiske kontekst som hjelper deg å ta de riktige beslutningene for å sikre nettverket ditt.

OWASP
For applikasjonssikkerhet er Open Web Application Security Project (OWASP) den mest anerkjente standarden i bransjen. Denne metoden, har hjulpet utallige virksomheter med å redusere applikasjonssårbarheter.

Dette rammeverket gir en metode for gjennomføring av applikasjonstesting som ikke bare kan identifisere sårbarheter som ofte finnes i nett- og mobilapplikasjoner,. Den kan også avsløre logiske feil som stammer fra usikre utviklingsrutiner. Den guiden har omfattende retningslinjer for hver metode innen penetrasjonstesting. Totalt sett finnes det over 66 kontrollmetoder som testere kan identifisere sårbarheter med.

Ved hjelp av denne metoden kan bedrifter sikre applikasjonene sine - både nett og mobil. Virksomheter som ønsker å utvikle nye web- og mobilapplikasjoner, bør også vurdere å bruke disse standardene i utviklingsfasen for å unngå å implementere vanlige sikkerhetsfeil.

På en sikkerhetsvurdering av applikasjonen, bør du forvente at OWASP-standarden skal brukes for å sikre at ingen sårbarheter har blitt igjen, og at virkdomheten din får realistiske anbefalinger tilpasset de spesifikke funksjonene og teknologiene som brukes i applikasjonene dine.

NIST
I motsetning til andre standarder for informasjonssikkerhet, tilbyr NIST mer spesifikke retningslinjer for penetrasjonstestere. National Institute of Standards and Technology (NIST) er en håndbok som er best egnet til å forbedre den generelle cybersikkerheten til en virksomhet. Den siste versjonen, 1.1, legger mer vekt på kritisk infrastruktur i cybersikkerhet.

Med dette rammeverket vil NIST garantere informasjonssikkerhet i forskjellige bransjer, inkludert bank, kommunikasjon og energi. Store og små firmaer kan skreddersy standardene for å nå spesifikke behov.

For å oppnå standardene som NIST har satt, bruker bedrifter mest penetrasjonstester på applikasjoner og nettverk etter et forhåndsbestemt sett med retningslinjer. Denne amerikanske sikkerhetsstandarden for informasjonsteknologi sikrer at selskaper oppfyller sine forpliktelser om cybersikkerhetskontroll og vurdering, og dermed reduserer risikoen for et cyberangrep på alle mulige måter.

PTES
PTES rammeverket (Penetration Testing Methodologies and Standards) definerer den mest anbefalte tilnærmingen for å strukturere en penetrasjonstest. Denne standarden veileder testere gjennom forskjellige trinn i en penetrasjonstest, inkludert innledende kommunikasjon, innsamling av informasjon, og trusselmodelleringsfaser.

Ifølge denne penetrasjonsteststandarden gjør testere seg først kjent med virksomheten og teknologiske kontekst så mye som mulig før de fokuserer på å utnytte de potensielle sårbarhetsområdene. Testerne har også retningslinjer for å validere de tidligere identifiserte sårbarhetene. De syv fasene i denne standarden garanterer en vellykket penetrasjonstest med praktiske anbefalinger som ledergruppen din kan stole på.

ISSAF
ISSAF-standarden (Information System Security Assessment Framework) er en enda mer strukturert og spesialisert tilnærming til penetrasjonstesting enn den forrige standarden. Hvis situasjonen til virksomheten krever en avansert metode helt tilpasset sin kontekst, er denne håndboken nyttig.

Disse standardene gjør det mulig for en tester å både planlegge og dokumentere nøyaktig hvert trinn i penetrasjonstestprosedyren, fra planlegging, vurdering til rapportering. Denne standarden passer for alle trinn i prosessen. Penetrasjomstestere som bruker en kombinasjon av forskjellige verktøy, finner ISSAF spesielt viktig, ettersom de kan knytte hvert trinn til et bestemt verktøy.

Om forfatteren 
Ahmad A. Rehman jobber som Lead Pentester i Experis Cybersecurity. Han har en master i Advanced Computer Science fra University of Leicester, Storbritannia. Han er spesialisert i sikkerhetstesting, red team og sårbarhetsstyring. Ahmad har mange års erfaring, og har jobbet i forskjellige selskaper. Han har ledet store sikkerhetsprosjekter i mange land, blant annet i Europa og Asia. Han har en solid bakgrunn innen skytjenester, rådgivning og IT-drift og prosjektledelse. Ta gjerne kontakt med ham på LinkedIn.