Af Aksel Brinck, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Hvordan tester man sikkerheden i en virksomheds it-system? En af de mere radikale metoder har været at sætte såkaldt gode hackere til at foretage en penetrationstest – altså forsøge at bryde ind i et system. Men nu er denne metoder forældet, proklamerer en tænketank, som it-sikkerhedsfirmaet Mimecast står bag. Den gode hacker skal pensioneres.
”Penetrationstesten har været et vigtigt værktøj til at vurdere virksomheders sårbarhed over for cybertrusler i mange år, men med den store udvikling i trusselsbilledet er der behov for mere tidssvarende test, og her ser vi angrebssimulation som den naturlige afløser,” siger Niels Frederiksen, der er Senior Sales Engineer i Mimecast.
Simulering med et enkelt klik
Antallet og variationen af sikkerhedsbrud er ifølge Mimecast konstant stigende, og derfor giver penetrationstesten ikke et retvisende billede af virksomhedens reelle sikkerhedsniveau. Afløseren bør værende løbende angrebssimulationer, hvor virksomheder med ét klik kan simulere tusindvis af angreb på tværs af platforme, lyder det fra selskabet (der selv udvikler denne type løsninger).
Teknologien simulerer de fleste trusler, som en virksomhed i dag kan blive ramt af og giver efterfølgende råd til, hvordan sikkerheden kan optimeres.
Denne type sikkerhedstest i dag bedre til at vurdere virksomhedens sikkerhedsniveau og til en lavere pris, vurderer Malcom Harkins, der er medlem af tænketanken og sikkerhedschef i det globale lydfirma Cymatic. Simulationerne er nemlig langt hen ad vejen billigere end penetrationstestene, fordi de kører mere automatisk og derfor kræver færre mandetimer, lyder forklaringen.
Så hvad skal en hacker nu tage sig til, hvis han fortryder sine kriminelle gerninger og vil gøre noget godt – måske programmere softwaren til angrebssimulationer?