In English
bluesoc

Säkerhetstest • Artikel

8 april, 2021

Red Team Testing vs pentester

Konventionella penetrationstester och Red Team Testing är i grunden lika till sin natur. Båda metoderna fokuserar på att identifiera och utnyttja sårbarheter i system och miljöer på ett sätt som en potentiell angripare skulle göra. Metodernas syfte och utförande skiljer sig dock åt i vissa hänseenden - här går vi igenom hur.

Penetrationstester

Ett penetrationstest följer ett fördefinierat och godkänt scope, där slutresultatet presenteras i en rapport som ingående belyser alla sårbarheter som har identifierats under testets gång tillsammans med rekommendationer på hur de bör åtgärdas. Testerna fokuserar på specifika tillgångar, såsom webbapplikationer, externa och interna nätverk, molninfrastruktur, mobilapplikationer och API:er. Testerna utförs av en eller flera tekniska experter och sker under en begränsad tid, vanligtvis under loppet av några veckor beroende på scopets omfattning. 

Traditionella penetrationstester är en viktig del av en organisations säkerhetsarbete. Främst på grund av att de förser organisationen med djupgående information om säkerheten i tillgångarna inom ett specifikt område vid en specifik tidpunkt, till exempel inför lansering eller uppdatering av tjänster, i samband med audits eller när ny teknik introduceras i miljön. Fynden från ett sådant test kan sedan åtgärdas och återtestas för att säkerställa att det berörda testobjektet uppfyller de givna säkerhetskraven. 

Penetrationstester har dock sina begränsningar. Eftersom testet omfattar ett isolerat område under en begränsad tid är resultatet bara representativt under förutsättning att miljön inte förändras. Många IT-miljöer växer dock i snabb takt genom införandet av ny teknik och kontinuerlig systemutveckling, vilket resulterar i att nya applikationer, kod och infrastruktur driftsätts med hög frekvens. Det introducerar i sin tur potentiellt nya vägar in för en angripare som ständigt söker efter nya attackytor. I de fallen blir årliga penetrationstester snabbt inaktuella, då de snarare ger en ögonblicksbild snarare än ett bestående resultat.

Red Team Testing

Red Team Testing utförs även de av penetrationstestare, men sker till skillnad från penetrationstester på hela eller stora delar av miljön. Testerna kan både utföras vid enstaka tillfällen eller löpande genom kontinuerliga Red Team-tjänster. Målet är att sondera terrängen för att identifiera nya sårbarheter som enkelt kan utnyttjas, vilket kan innefatta möjligheter till laterala rörelser, alternativa åtkomstvägar till kritisk data eller möjlighet att komma åt centrala tillgångar som Active Directory eller känsliga applikationer. 

Testerna utförs av flera personer som tillsammans bildar ett så kallat Red Team. Till sin hjälp använder de en kombination av verktyg som konstant letar efter nya öppningar, som sedan kan följas upp av manuella angrepp - med andra ord samma tillvägagångssätt som en verklig angripare skulle använda. Dessa verktyg och metoder används parallellt för att simulera så verkliga attacker som möjligt. 

I motsats till traditionella penetrationstester som djupdyker i specifika system och applikationer, testar med andra ord Red Team organisationens motståndskraft på bredden. Resultatet blir följaktligen en överskådlig bild över terrängen, samtidigt som det ger en djupare förståelse för organisationens säkerhetsnivå i sin helhet.

Kontinuiteten i en löpande Red Team-tjänst skapar även förutsättningar för att identifiera och åtgärda kritiska sårbarheter snabbt, till exempel i samband med nyupptäckta brister och varningar från CERT-SE, och inte bara i anslutning till enskilda penetrationstester. Genom proaktiva åtgärder, såsom att indexera öppna portar, kan Red Team snabbt ta reda på vilka system som är drabbade när omfattande sårbarheter som exempelvis Heartbleed uppdagas. Tack vare dessa åtgärder kan Red Team direkt ge sig på berörda system för att undersöka vilken skada som potentiellt kan åsamkas, samt ge rekommendationer kring hur bristerna kan mitigeras. 

Nedan följer en matris som beskriver skillnaden mellan sårbarhetsscanning, penetrationstest och Sentors kontinuerliga Red Team-tjänst RedSOC, samt förklarar hur, när och varför de bör tillämpas:

SårbarhetsscanningPenetrationstestRedSOC
MålInfrastruktur, moln och hela nätverk, inklusive klienter och servrar.Samma som vid scanning, men främst fördjupade tester av affärskritiska och särskilt känsliga system.Samma som vid scanning. Hela eller delar av organisationers samlade IT-miljö. Vi kan även testa allt vi juridiskt får, vilket kan innefatta leverantörer, publika tjänster och andra alternativa angreppsvägar. Scope beslutas i dialog med kund.
FrekvensMinst kvartalsvis samt vid betydande förändringar i nätverk och utrustning.En till två gånger om året samt vid betydande förändringar i nätverk, system och applikationer.Kontinuerligt över tid.
RapporterListar vilka kända lättidentifierade sårbarheter som finns i nätverket, på samma sätt som antivirus larmar på kända virussignaturer.Management-del som beskriver hur brister kan utnyttjas, vilken information som äventyras, vilka säkerhetsåtgärder som bör vidtas. Teknisk del där var och en av alla enskilda brister beskrivs, inklusive konkreta risker och åtgärdsförslag.Kontinuerlig rapportering till kund via Sentor Customer Portal på kvartalsvisa möten. Även möjlighet till kommunikation via kanaler som Slack för att hålla en tät dialog när det uppstår frågor och funderingar.
GenomförandeKan utföras internt, men kräver viss teknisk expertis för att sätta upp.Utförs med fördel av oberoende externa leverantörer, gärna växelvis mellan två eller flera leverantörer. Kan utföras både remote och on-site.Utförs från Sentor RedSOC och levereras remote via en säker appliance, i moln och på interna nätverk.
FokusEnkla signaturbaserade sårbarheter.Fördjupade analyser och aktiva försök att bryta säkerhetsmekanismer för att nå den information som skall skyddas.Kontinuerlig horisontell scanning och kartläggning kombinerat med aktiva vertikala penetrationstester där svagheter identifieras.
VärdeIdentifierar kända sårbarheter, dock inte mer än vad angripares automatiska scanningverktyg hittar. Djupare erfarenhet inom IT-säkerhet krävs för att göra en kvalificerad bedömning av resultatet.Identifierar tekniska och logiska brister som ligger djupare än vad en sårbarhetsscanner kan hitta.Ett fördjupat pentest av ett enskilt affärskritiskt system, utfört av erfarna pentestare, identifierar en stor andel av de brister som annars riskerar att upptäckas och utnyttjas av kriminella.Pentestarens erfarenhet och kompetens är avgörande för resultatet.Kontinuerliga breda pentester över tid för att snabbt kunna reagera på nyupptäckta brister och varningar från olika informationskällor. Validering av befintlig nätverksövervakning. Pentest utförs från samma perspektiv som verkliga angripare.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.