Säkerhetstest

Digitaliseringen av samhällsfunktioner medför nya säkerhetsrisker, där konsekvenserna av systemfel kan vara omfattande. Säkerhetstestning, som baseras på riskanalys och omfattar aktiviteter som penetrationstestning och sårbarhetsscanning, är avgörande för att identifiera och åtgärda potentiella sårbarheter i IT-system.

Allt fler samhällsfunktioner förses helt eller delvis med digitala lösningar, vilket också medför nya risker mot dessa. Konsekvensen av systemfel kan bli mångdubbelt större i ett digitaliserat system än i dess analoga motsvarighet, för att inte tala om vilken måltavla det utgör för en illasinnad aktör. Det skärpta säkerhetspolitiska läget bidrar också till ett ökat behov av att säkerställa att våra digitala lösningar har god motståndskraft mot yttre påverkan. Under 2016 utfördes en stor mängd riktade attacker mot företag som levererar IT-tjänster åt andra företag, vilket ledde till ett antal större incidenter i Sverige. I 2022 tros en patient inom den tyska sjukvården ha avlidit till följd av en cyberattack. Det råder därför ingen större tvekan om att säkerheten utgör en viktig aspekt genom en applikations hela livscykel. Säkerhetstest kan och bör ingå ända från design och upphandling till förvaltning och drift.

Vad är säkerhetstest?

Liksom test- och kvalitetsarbetet i sin helhet vilar även säkerhetstest på riskanalysen, vilken bör vara välarbetad och uppdaterad för den tänkta tillämpningen. Genom att t.ex. ta reda på vilka objekt som kan vara värdefulla för en illasinnad utomstående att komma över eller förstöra får hela säkerhetsarbetet en tydligare riktning och åtgärder kan prioriteras på det sätt som förväntas nå störst resultat.

Säkerhetstestning är ett brett begrepp som innefattar flera olika typer av aktiviteter, såsom:

  • Penetrationstestning eller offensiv säkerhetstestning. Här försöker man tänka och göra som en fiktiv angripare skulle göra för att obehörigen få åtkomst till eller sabotera ett IT-system. Man använder liknande verktyg och tekniker som en hackare, men till skillnad från en verklig hackare har man som mål att identifiera, påvisa och dokumentera eventuella säkerhetsbrister, så att bristerna kan åtgärdas. Vanligen utförs denna typ av testning mot en externt åtkomlig applikation eller verksamhet snarare än hela IT-miljön hos en organisation. Man brukar också skilja på fall där hackaren antas ha insyn i målmiljön (t.ex. genom att känna till bakomliggande systemarkitektur, interna IP-adresser etc.) eller där hen antas enbart ha publikt tillgänglig information till sitt förfogande.
  • Sårbarhetsscanning eller säkerhetsgranskning. Denna aktivitet syftar till att inifrån IT-miljön kartlägga potentiella säkerhetsbrister såsom utdaterade serverprogramvaror, öppnade brandväggsportar och liknande.
  • Red Team-testning. I vissa organisationer arbetar man i ett uttalat ”Red Team” som ikläder sig rollen som angripare. Teamet övervakar då målet (antingen en applikation eller en hel IT-miljö) för att identifiera potentiella sårbarheter alltefter som de uppstår, samt utsätter målet för olika former av angrepp. Tanken är att teamet dels tack vare sitt antagonistiska synsätt och dels genom att introducera nya verktyg och tekniker ska kunna ge en mer rättvisande bild av vilka sårbarheter som finns. Ibland kan man också utföra mer djupdykande utredningar av specifika scenarier, exempelvis i vilken utsträckning organisationen är exponerad för en specifik s.k. ”Zero-Day”-sårbarhet (t.ex. den som uppmärksammades i log4j under 2021).
  • Statisk kodanalys och kodgranskning. Här går man på djupet i enskilda applikationer för att på kodnivå identifiera säkerhetsbrister orsakade av t.ex. sårbara tredjepartskomponenter eller kod som är skriven på ett osäkert sätt. I stor utsträckning kan detta utföras med hjälp av automatiserade verktyg som ger snabb återkoppling även på stora kodmassor, men manuell inspektion utförd t.ex. av en utvecklarkollega med säkerhetsperspektivet i åtanke kan också vara ett bra komplement.

Ta kontakt med en av våra erfarna experter för att få hjälp att hitta en lösning som passar just dina behov.

Vanliga frågor inom säkerhetstest

Hur kan jag automatiserad säkerhetstest i min utvecklingsprocess?2023-10-11T14:19:00+02:00

Det finns specialiserade verktyg och tekniker som med fördel kan användas i t.ex. en Continuous Deployment-pipeline, både som kan utvärdera en applikation som körs eller som kan genomsöka en kodmassa efter potentiella sårbarheter.

Hur kommer jag igång med säkerhetstest för min applikation?2023-10-11T14:17:04+02:00

Börja med riskanalysen! Vilken information skapas, lagras eller bearbetas? Vilka värden finns i eller hanteras av applikationen, och vilka risker ser du med dessa? Går det att mitigera riskerna på något sätt? Specifikt för webbaserade applikationer kan OWASPs topp 10-lista över säkerhetstsrisker också vara en bra utgångspunkt att arbeta vidare från i ett tekniskt perspektiv.

Specialist inom säkerhetstest

Tomas Rosenqvist

Tomas har över 20 års erfarenhet av mjukvaruutveckling inom vitt skilda branscher, såsom retail, tillverkningsindustri och försäkring. Särskilt brinner han för kvalitetssäkring och har som mål att bygga in kvalitet och säkerhet så tidigt som möjligt under utvecklingsprocessen.

Kontakta oss för konsultation eller frågor rörande Test och QA

Har du frågor eller behöver hjälp med dina projekt inom test och QA? Tveka inte att höra av dig till oss. Fyll i formuläret så återkommer vi till dig inom kort. Vi finns här för att hjälpa dig att ta nästa steg i din digitala utveckling.