Embed Size (px)
Citation preview
Gassås Gruppen– Oberoende leverantör inom IT- och informationssäkerhet
GASSÅS GRUPPENGassås är ett oberoende IT-säkerhetsföretag som hjälper våra kunder att jobba proaktivt med sitt säkerhetsarbete sedan starten 1997. Vi kan idag hjälpa er med alla typer av uppdrag inom informationssäkerhetsområdet.
Låt oss hjälpa er att hitta och bedöma riskerna! Vår
portfölj innehåller många verktyg som kan hjälpa
er i ert säkerhetsarbete. Vi utför årligen över 1500
olika säkerhetsanalyser och arbetar kontinuerligt
med att utveckla våra säkerhetstjänster. Om ni vet
var riskerna finns kan ni planera för hur ni skall
undvika dem. Ni kan bättre utnyttja era resurser,
er tid och er budget för att nå ett maximalt resultat
i en säker och stabilare miljö!
Som oberoende sitter vi inte i knät hos någon
eftersom vi inte säljer några produkter eller åtgär-
dar något vi hittar. Detta är en garanti för korrekta
analyser och råd om olika produkter och tjänster.
Med ett gammalt soldatnamn med bakgrund från Dalarna som förmedlar våra ledord;
strategi, struktur och säkerhet. Ledande inom IT-säkerhet sedan 1997.
Gassås är representant för Core Security på den skandinaviska marknaden samt European Training
Center (ETC) för Core Security i norra Europa. www.coresecurity.com
Vi levererar mätbar IT-säkerhet
SECURE IT Vårt koncept Secure IT består av olika säkerhetstester/analyser som kan behö-va göras på ett företags IT-miljö. Vår portfölj innehåller många olika verktyg för att vi på bästa sätt ska kunna hjälpa er i ert säkerhetsarbete.
Genom våra analyser och säkerhetstester kan or-
ganisationer på ett säkert sätt testa effektiviteten
hos sina skyddslösningar proaktivt. Vi kan testa
skyddet i trådbundna och trådlösa nätverk, klien-
ter, applikationer, mobila enheter och servrar m.m.
för att säkerställa att de är korrekt konfigurerade
och uppdaterade.
Ryggraden i vårt Secure IT koncept är vår egen-
utvecklade Secure IT-Appliance som utför kontinu-
erliga sårbarhetsanalyser automatiskt på insidan
i nätverket. Analysen görs på allt som har en IP-
adress och kommer med åtgärdsförslag och mät-
bara risker. Genom att kontinuerligt åtgärda sår-
barheter i IT-miljön får man mindre sårbara och
stabilare system, vilket innebär färre avbrott, hö-
gre kvalitè i driften och sänkta kostnader.
Vid behov kopplar vi sen på olika analyser såsom:
• Penetrationstest
• Lastanalys/Nätverksövervakning
• Applikationstest/Validering av kod
• Social Engineering
• Fördjupade Sårbarhetsanalyser
• Säkerhetstest av Mobila enheter
Våra analyser och säkerhetstester hjäl-per er att utvärdera era investeringar för informationssäkerhetFörsvarsmekanismer inklusive AV-system, IP och
IDS, säkerhet för meddelandehantering och web-
bapplikationer samt brandväggar kan kräva bety-
dande investeringar i tid och pengar. Det är där-
för som fler och fler organisationer använder sig
av våra analyser/säkerhetstester för heltäckande
datasäkerhetstestning för att validera effekten av
dessa verktyg, och att utvärdera sin avkastning på
investeringen, både före och efter att man har köpt
produkterna.
Genom att på ett säkert sätt simulera verkliga hot-
bilder, kan våra tester hjälpa er att bevisa om era
säkerhetslösningar effektivt kan upptäcka och fö-
rebygga attacker eller hjälpa dig att avgöra om du
behöver börja leta efter alternativ.
Vi kan också assistera vid inköpsprocessen genom
att kunna utvärdera produkter för att kunna be-
stämma ROI och säkerställa att framtida investe-
ringar blir så kostnadseffektiva som möjligt.
Alla våra tester bygger på ett stort bibliotek av sårbarheterVi använder faktiska sårbarheter, som finns aktiva
ute i omvärlden just nu, på ett kontrollerat sätt för
att på säkrast möjliga vis kunna utvärdera olika
skyddslösningar. Våra säkerhetstester bygger på
ett stort bibliotek med kommersiella sårbarheter
som emulerar olika attackvektorer och scenarier
på ett realistiskt sätt. Det finns också möjligheter
att skräddarsy sårbarheter och attackvektorer för
applikationer och tjänster som är egenutvecklade.
Biblioteket är utvecklat av säkerhetsexperter över
hela världen. Sårbarheterna testas och uppdateras
dagligen så att det alltid går att testa och skydda
sig mot de senaste sårbarheterna, även Zero-Day
attacker.
Order Nätverks-resurser
att skanna
Vald frekvens Skannings-resultat
Beslutadeåtgärder
Executiverapport
Sårbarhets-rapport
Intervju
Konfigurera Secure ITAppliance
Väljaskanningsfrekvens
Genomföraskanning
Generera kontinuerliga
rapporter
Hantera sårbarheter
löpande
Säkerhetskonsult Secure IT Appliance Ledningsgrupp IT-avdelning
L ITSecure IT Apppliance
Krav på att inte störadriftmiljö
SECURE IT APPLIANCE
Secure IT Appliance analyserar kundens nätverk
och servers (virtuella eller fysiska) upp till en gång
per dag. Som underlag för analysen hämtas hot och
sårbarheter från ett urval viktiga källor i världen.
Analystjänsten är klientfri, d.v.s. man behöver inte
installera någon mjukvara på servrar. Analysen
utförs direkt i nätverket från vår Secure IT app-
liance som gör kontinuerliga sårbarhetsanalyser
mot utvalda IP-adresser (enstaka IP-adresser och/
eller intervall av IP-adresser). Tjänsten omfattar
implementation, konfiguration samt kontinuerliga
sårbarhetsanalyser.
Målet med Secure IT Appliance är att identifiera
sårbarheter i ert nätverk, där ni får åtkomst till
rapporter via ett webbgränssnitt som även är op-
timerat för åtkomst i surfplattor. Rapporterna har
ett anpassat användargränssnitt på övergripande
”Executive” nivå samt ”Detaljerad” åtgärdsnivå.
Secure IT Appliance ger en möjlighet att konti-
nuerligt upptäcka och åtgärda sårbarheter i sitt
nätverk. Resultatet är mindre nertid, lägre risk för
imageförluster, lägre risk för informationsförluster
samt möjliggör att interna resurser kan användas
på bättre sätt.
Vår lösning är sluten och säker för produktions-
system, eftersom den inte installerar eller kör kod
under testning. Våra rapporter ger säkerhetsproffs
och utvecklare den kritiska informationen de be-
höver för att identifiera svagheter i säkerheten,
bestämma eventuella korrigeringar, och prioritera
saneringsinsatser.
Secure IT Appliance är ett egenutvecklat koncept för proaktivt säkerhetsarbete som syftar till att skapa en säkrare och stabilare drift av IT-miljöer genom kon-tinuerliga sårbarhetsanalayser på insidan av nätverket.
Secure IT-Appliance levererar mätbara
risker/sårbarheter.
Om ni vet var riskerna finns kan ni planera för
hur ni skall undvika dem. Ni kan bättre utnyttja
era resurser, er tid och er budget för att nå ett
maximalt resultat i en säker miljö!
Order Nätverks-resurser
att skanna
Vald frekvens Skannings-resultat
Beslutadeåtgärder
Executiverapport
Sårbarhets-rapport
Intervju
Konfigurera Secure ITAppliance
Väljaskanningsfrekvens
Genomföraskanning
Generera kontinuerliga
rapporter
Hantera sårbarheter
löpande
Säkerhetskonsult Secure IT Appliance Ledningsgrupp IT-avdelning
L ITSecure IT Apppliance
Krav på att inte störadriftmiljö
SECURE IT APPLIANCEAnvändningen av Secure IT Appliance är en god investering eftersom den ger en kontinuerlig heltäckande bild av de sårbarheter som kan utnyttjas såväl internt som externt. Analyserna fungerar som beslutsstöd och är användbara inför och under förändringsarbete samt för den dagliga driften av IT-miljöer och system.
• Mätbara resultat
• Analyserar kundens nätverk upp till en gång per dag
• Analys görs på plats i nätverket av en appliance (eller virtuellt) utan administratörs- och nät-verksrättigheter
• Uppdateras med nya sårbarheter dagligen
• Lättlästa rapporter med åtgärds-förslag
• Klientfri
• Tekniska delen av PCI DSS ingår
Mindre sårbara system innebär färre avbrott,
högre kvalitet i driften och sänkta kostnader.
APPLIKATIONSTEST
Känner ni en osäkerhet över hur era applikationer fungerar när det gäller säk-erhet eller hur de beter sig vid belastning, har ni mycket att vinna på att göra ett grundläggande applikationstest.
Vi arbetar med verktyg, anpassade för de olika typer av applikationer ni har inom er verksamhet, när vi
skall testa säkerheten av såväl webapplikationer som normala client/server applikationer. Testerna kan utfö-
ras i driftmiljö men bör istället genomföras i en virtuell miljö, så kallad “sandbox”, vilket medför att säkerheten
hos applikationen kan kontrolleras utan att påverka driftmiljön. För att även kunna testa egenutvecklade
applikationer görs specialskrivna script.
• Identifiering av sårbarheter i webapplikationer, webservrar samt tillhörande databaser
• Testar alla attackvektorer i OWASP (Open Web Application Security Project) Top 10
• Traditionell SQL Injection - testar databasanrop (OWASP A1)
• Blind SQL Injection - testar databasanrop (OWASP A1)
• OS Command Injection - testar isolering mellan webapplikation och operativsystem (OWASP A1)
• XSS (Cross Site Scripting) - testar sårbarheter som ger kontroll över användarens webläsare (OWASP A2)
• Reflective XSS, Persistent XSS samt Dynamic XSS
• Autentisering och sessionshantering - testar sårbarheter i inloggningsfunktioner (OWASP A3)
• Osäkra objektreferenser - testar för olänkade sidor, gamla versioner samt känsliga URL'er (OWASP A4)
• CSRF (Cross Site Request Forgery) - identifierar sårbarheter i anrop till applikationen (OWASP A5)
• Säkerhetskonfigurations problem - testar hela kedjan från webapplikation till underliggande hårdvara (OWASP A6)
• Säkerhetskontroll av kryptografi och certifi-kathantering/lagring (OWASP A7)
• Förhindrad URL-åtkomst - testar för sårbarheter vid åtkomst till känsliga sidor tex. admin mm. (OWASP A8)
• Otillräckligt skydd av transportlager - testar sårbarheter i konfiguration av SSL/TLS (OWASP A9)
• Ovaliderade omdirigeringar och vidarebeford-ringar (OWASP A10)
• RFI (Remote File Inclusion) - testar för risker i både fjärr och lokal inkludering av filer
• Konfigurationsproblem med WebDAV och CardDav mm.
• Tester av säkerhetslösningar (Firewall evade, obfuscating, fragmenting, encrypting)
• Kontrollerar nivå på kryptering av webapplika-tionen
• "Fingerprinting" för att se om standardsårbarhe-ter kan utnyttjas
• Dynamiskt genererad kod för att kontrollera säkerhetsbrister i kod samt plattform
• Konsekvensbeskrivning av eventuella intrång
• Informationsinsamling för att hantera sårbarhe-ter/risker och förebygga intrång
• Informationsinsamling för att ta fram förslag för förändrade policies för fortsatt utveckling
SÄKERHETSKONTROLL AV WEBAPPLIKATIONER SAMT VALIDERING AV KOD ENLIGT BEST PRACTICE
Vi kan även utföra en kontroll av programkod för egenutvecklade system (webapplikationer) utifrån ett
säkerhetsperspektiv. Dessutom görs en validering/kvalitetskontroll för att säkerställa att koden följer
Best Practice beträffande hur kodning skall göras på säkrast möjliga sätt.
Vid analyser av webapplikationer så görs bland annat följande typer av tester:
APPLIKATIONSTEST
SYFTESyftet med säkerhetstestet är att säkerställa att
den programkod som produceras för egenutveck-
lade system inte innehåller några risker med av-
seende på sårbarhet eller säkerhet, samt en upp-
följande validering/kvalitetskontroll, utifrån Best
Practice, för hur kodning bör ske på säkrast möj-
liga sätt. Målet med denna kontroll är att kunna
komma med förslag på åtgärder för att bättra på
säkerheten. Vidare är syftet att göra er medvetna
om riskerna med eventuellt upptäckta och iden-
tifierade sårbarheter och på så sätt höja säker-
hetsnivån markant. Detta kan även leda fram till
förändrade rutiner och arbetssätt vid kodning och
egen testning av kod.
GENOMFÖRANDEDen normala modellen för denna typ av analys är
att koden lyfts in i en ”sandbox-miljö” som vi till-
handahåller, alternativt om kunden har en testmil-
jö som lämpar sig för detta. Därefter kontrolleras
koden utifrån olika kriterier och tester/mätningar
av trafik sker för att identifiera potentiella risker
med hur systemet är kodat för att hantera olika
typer av funktioner och information. Utifrån detta
resultat kan sedan ett antal förbättringsåtgärder
samt en Best Practice skapas och presenteras för
att ge nya/förändrade rutiner som medför att man
kan säkra upp det fortsatta utvecklingsarbetet.
Vid analyser av webapplikationer så görs bland annat följande typer av tester:
LASTANALYS
Blir ett eller flera system långsamma utan att ni kan förstå varför eller upplever ni att prestanda och tillgänglighet i era trådbundna och/eller trådlösa system inte är det ni förväntat er?
Problem med prestandaNär det skapar frustration över att inte kunna ar-
beta normalt så kan en lastanalys vara aktuell för
att utreda de grundläggande orsakerna.
För att utreda problem med prestanda och tillgäng-
lighet i era trådbundna och/eller trådlösa system
kan vi genom en lastanalys få en bild av vilken
typ av trafik som passerar i nätverket. Därefter
kan man analysera detta resultat för att identifiera
onödig trafik samt eventuella flaskhalsar som kan
uppstå genom underdimensionerad hårdvara.
Att göra en lastanalys ger er en bild av hur de ana-
lyserade systemen påverkas och i rapporten ger vi
även förslag på förbättrande åtgärder.
NätverksövervakningVi kan vid behov även testa av prestanda och till-
gänglighet i trådbundna och/eller trådlösa system
genom olika verktyg för nätverksövervakning som
ger en bild över en längre tid av vilken typ av trafik
som passerar i nätverket. Resultatet analyseras för
att identifiera onödig trafik, eventuella konflikter
samt för att förhindra otillåten kommunikation i
nätverket från exempelvis virus eller trojaner.
Nätverksövervakningen resulterar i en rapport
med status på säkerheten i de analyserade syste-
men samt förslag på förbättrande åtgärder.
Cloudtjänster är ett kraftigt växande område
som förlitar sig på leverans av olika typer
av tjänster samt extern lagring av data som
kunden kommer åt via en delad nätverks-
infrastruktur. Normalt sett är tjänster och
lagring privat medan infrastruktur är publik
(internet). Kombinationen av olika tjänste-
leverantörer, lösningar för extern datalagring
samt leverantörer av internetanslutning ger
hög komplexitet med många inblandade par-
ter. Problemen med att bibehålla säkerheten i
hela kedjan från klient till server är uppenbar!
Vi testar och säkerställer kvaliteten hos de
parter som tillhandahåller era lösningar för
cloudtjänster och extern lagring.
TESTER AV CLOUDTJÄNSTER
PENETRATIONSTEST
Syftet med penetrationstest är att ge en bild av sårbarheten från utsidan på brandväggen samt komma med förslag på åtgärder för att bättra på säkerheten. Vidare är syftet även att göra er medvetna om riskerna med identifierade sår-barheter och på så sätt höja säkerhetsnivån markant
Hackarattacker och intrång i nätverket är van-
ligare än man kan tro. Vill det sig illa kan små
okända ändringar vid ett intrång påverka hela
nätverket och i vissa fall även användas som en
språngbräda vid attacker mot andra nätverk.
Vid ett penetrationstest kontrollerar vi säker-
heten genom att försöka utföra regelrätta in-
trångsförsök mot ett nätverk via externa system
(brandväggar, DMZ). Detta kan ske genom att man
exempelvis attackerar ett företags brandvägg el-
ler trådlösa nätverk för att därefter utvärdera sä-
kerheten. Om man kan få åtkomst i ett eller flera
system så gör man sedan en återkoppling för att
se om det därigenom går att få vidare åtkomst till
andra resurser även om dessa inte finns i ome-
delbar anslutning till de hackade systemen.
Den rapport vi presenterar efter ett penetrations-
test ger en indikation över statusen på säkerhe-
ten i de analyserade systemen samt förslag på
förbättrande åtgärder.
TESTA EFFEKTIVITETEN HOS IPS OCH IDS Nya hot och sårbarheter identifieras och utvecklas
kontinuerligt för att attackera och utnyttja system
för IDS och IPS. Det är extremt viktigt att förstå hur
era system och skyddsåtgärder kan kringgås innan
en attack händer på riktigt och någon sårbarhet ut-
nyttjas för kriminella ändamål. Vi kör attacker på
ett säkert sätt i en kontrollerad miljö för att identi-
fiera sårbarheter eller konfigurationsproblem i dina
säkerhets system.
PIVOTING: Spåra attackvektorer från
publika nätverk till åtkomst av backend data.
Vi använder verkliga penetrationstester i flera
steg som ger möjligheter att replikera attacker
som används av angripare för att påvisa de
steg som kan användas efter det första publika
nätverket utsatts för intrång. Genom att integrera
analyser av trådlösa nätverk, trådbundna nät-
verk, webbapplikationer och slutpunktstestning,
avslöjar och dokumenterar vi de vägar som
känslig data kan exponeras från bakomliggande
system.
Länkade Sårbarheter: utvärdera din expo-
nering mot hot och sårbarheter i flera steg
Cyberbrottslingar skapar allt mer komplexa attack-
metoder för att utvidga sin räckvidd till flera sys-
tem hos utnyttjade företag och organisationer. Vi
kan simulera flerstegs attacker genom att integre-
ra resultaten från nätverkspenetrationstester med
både tester av slutanvändare samt applikations
och webbapplikationstestning. Man kan utnyttja
sårbara och/eller utnyttjade system som identifie-
rats under tester av slutanvändare och applikatio-
ner som språngbrädor för att sedan starta lokala
attacker på andra nätverkssystem. Man kan också
använda information som skördas från utnyttjade
system för att skapa och leverera övertygande rik-
tade phishing tester som innehåller kundspecifik
information som till exempel namn på avsändare,
mottagare, företag, kontaktuppgifter mm. vilket
medför att mottagarens vaksamhet sänks.
INTRÅNGSTEST AV TRÅDLÖSA NÄTVERK Våra penetrationstestmöjligheter för trådlösa
nätverk och annan trådlös kommunikation gör
att du kan bedöma din organisations beredskap
mot verkliga attacker som kan startas via Wi-Fi-
nätverk, Bluetooth kommunikation eller via NFC
och RFID. Vi kan proaktivt replikera de åtgärder
som en blivande angripare kan använda sig av för
att avslöja exploaterbara svagheter i dina tråd-
lösa och trådbundna nätverk – samla in data vid
varje steg för effektiv och ändamålsenlig riskmi-
nimering. Vi kan replikera flerstegs attacker som
använder sig av trådlös kommunikation för att
komma åt sårbar utrustning som sedan kan an-
vändas för att komma åt backend resurser. Detta
avslöjar hur kedjor av exploaterbara sårbarheter
kan öppna vägar till verksamhetskritiska system
och data.
FÖRDJUPADE SÅRBARHETSANALYSER
Vi ger en komplett bild av hur ett intrång kan ske och vilken tillgång till interna system och data som kan skapas. Vi tar fram ett underlag för att proaktivt före-bygga hur eventuella sårbarheter kan utnyttjas och minimera riskerna med dessa!
Steg 1Firewall Sanity Check – Detta är en klassisk extern
analys av brandväggen.
Här görs dels en sårbarhetsanalys samt kontroll
av att brandväggens uppsättning och regelverk
följer Best Practice och inte ger mer information/
öppningar än vad som faktiskt krävs av de resur-
ser som delas via brandväggen. Dessutom görs en
grundläggande kartläggning av resurser som an-
vänds som underlag för steg 2.
Steg 2Utökat säkerhetsanalys av resurser som kartlagts
i steg 1.
Denna del av analysen är utformad som ett pe-
netrationstest där olika typer av resurser kontroll-
eras för potentiella sårbarheter samt vilka risker
detta skulle kunna medföra. Här testas webser-
vrar, ftp-servrar, mailservrar mm. samt de olika
kopplingar som dessa har inåt i miljön i form av
länkar eller databaskopplingar. Steg 2 utförs utan
några specifika rättigheter.
I steg 2 så görs bland annat följande typer av tester:
• Identifiering av sårbarheter i webapplikationer, webservrar samt tillhörande databaser
• Testar alla attackvektorer i OWASP (Open Web Application Security Project) Top 10
• Traditionell SQL Injection - testar databasanrop (OWASP A1)
• Blind SQL Injection - testar databasanrop (OWASP A1)
• OS Command Injection - testar isolering mellan webapplikation och operativsystem (OWASP A1)
• XSS (Cross Site Scripting) - testar sårbarheter som ger kontroll över användarens webläsare (OWASP A2)
• Reflective XSS, Persistent XSS samt Dynamic XSS
• Autentisering och sessionshantering - testar sårbarheter i inloggningsfunktioner (OWASP A3)
• Osäkra objektreferenser - testar för olänkade sidor, gamla versioner samt känsliga URL’er (OWASP A4)
• CSRF (Cross Site Request Forgery) - identifierar sårbarheter i anrop till applikationen (OWASP A5)
• Säkerhetskonfigurations problem - testar hela kedjan från webapplikation till underliggande hårdvara (OWASP A6)
• Säkerhetskontroll av kryptografi och certifi-kathantering/lagring (OWASP A7)
• Förhindrad URL-åtkomst - testar för sårbarheter vid åtkomst till känsliga sidor tex. admin mm. (OWASP A8)
• Otillräckligt skydd av transportlager - testar sårbarheter i konfiguration av SSL/TLS (OWASP A9)
• Ovaliderade omdirigeringar och vidarebeford-ringar (OWASP A10)
Steg 3Fördjupad analys där underlaget från steg 1 och
2 används med faktisk behörighet i det aktuella
systemet. Efter dessa steg är avslutade kan en för-
djupad analys göras där resultatet från steg 1 och
2 används som underlag. Här går man nu djupare
och kontrollerar vilka potentiella sårbarheter och
risker som kan finnas om någon användare av sys-
temen skulle vara påloggad och ha någon form av
skadlig kod, malware eller liknande på sin arbets-
station som skulle kunna utnyttja resursen med en
faktisk behörighet.
Så här kan ett Penetrationstest på brandvägg samt fördjupade säkerhets-analyser se ut i olika steg:
FÖRDJUPADE SÅRBARHETSANALYSER
Penetrationstester av mobila enheterDessa tester är mobila attacker som förpackats
som vanliga program som försöker att köra lo-
kalt på den mobila enheten. Dessutom försöker
vissa attacker utnyttja kända sårbarheter i en-
hetens operativsystem samt inbyggda program
eller komponenter för att köra programmet. Alla
attacker, tester och skadlig kod utvecklas och tes-
tas i sandboxmiljöer och är utformade för att max-
imera stabilitet och integritet och får kontinuerliga
uppdateringar när nya sårbarheter dyker upp och
angriparna finslipar sin teknik.
Genom att utföra penetrationstester mot mobila enheter kan man:
• Identifiera och bevisa att kritiska data som ska-pats i/av mobila enheter i din miljö kan expone-ras
• Utvärdera säkerheten för ny mobil teknik före driftsättning
• Få värdefulla data som krävs för att påvisa finansiella och operationella risker
• Bedöma slutanvändarnas säkerhetsmedvetenhet kring olika tekniker för social engineering
• Skydda slutanvändare från förtal, bedrägeri och utpressning
• Skapa revisioner och rapporter kring säkerhe-ten för mobila enheter till bolagsledningen och andra intressenter
Informationsinsamling: Demonstrera kon-
sekvenserna av ett intrång i en mobil enhet.
Man kan inte bara visa hur säkerheten i mobila
enheter i din omgivning kan äventyras, men också
avslöja hur angripare kan komma åt och manipu-
lera data från enheten för att få fram information
kring ditt företags immateriella rättigheter men
även potentiellt bedra, förtala eller utpressa en
slutanvändare.
Attack och penetration: Utnyttja mobila
enheter med metoder som existerar i omvärlden
Ett av de mest effektiva sätten för en angripare
att ta kontroll över en mobil enhet är genom att
få användaren, eller själva enheten, att installera
ett skadligt program. Vid tester av nätfiske, lurar
man användaren att klicka på en länk som utlöser
attacken. För Wi-Fi-tester, levereras attacker som
svar på förfrågningar av data (falska AP-attacker)
och för in dem i befintlig trafik (MITM attacker).
Metoder att leverera attacker
• E-phishing-attacker levereras direkt via email
• SMS-phishing-attacker levereras via en email-till-SMS-gateway tjänst
• Wi-Fi-attacker levereras via integration med en specialgjord hårdvara som möjliggör låg-nivåkommunikation med enhetens inbyggda trådlösa radiokort
SÄKERHETSTESTER AV MOBILA ENHETER
Med våra penetrationstester, kan du påvisa sårbarheter hos smartphones gen-om att vi använder samma attack tekniker som används av brottslingar i dag.
SÄKERHETSTESTER AV MOBILA ENHETER
Bedöma säkerheten hos mobila enheter innan en angripare kan utnyttja bristerVi hjälper er att kontrollera slutanvändare och mobila enheter
genom följande tekniker:
• Nätfiske Gör att du kan skicka e-post och textmeddelanden som avgör om organisationens anställda skulle falla offer för nätfiske och spear phishing-attacker genom att klicka vidare till skadliga webbplatser och/eller installation av skadliga mobilappar.
• Webbformulär Bedömer hot för dataläckage genom att utföra phishing tester där länkar bifogas till webbformulär som syftar till att fånga och spela in användarangivna data, t.ex. användarnamn och lösenord.
• Falska trådlösa accesspunkter Imiterar giltiga trådlösa accesspunkter i ett försök att lura användare att ansluta sina apparater till dem.
• Trådlös man-in-the-middle (MITM) attacker Identifierar och övervakar trådlösa nätverk som antingen inte har kryptering eller använder svag kryptering och iaktta even-tuella anslutna enheter.
Utdrag av uppgifterNär en testad enhet har utnyttjats så är det möjligt att extrahera
data från enheten på samma sätt som en angripare skulle. Man
kan exempelvis extrahera följande datatyper:
• Telefonsamtal, SMS och MMS loggar
• GPS-position
• Kontaktinformation
• Bilder
Du kan även potentiellt ta stillbilder, video samt spela in ljud med
enhetens inbyggda kamera och mikrofon utan att användaren är
medveten om detta, vilket kan ge ytterligare belägg för allvaret
med intrånget.
FAKTA
HOTEN MOT MOBILA ENHETER ÖKAR
2004 lanserades det första viruset
som enbart attackerade mobila
plattformar – Cabir…
I takt med att användningen av
smarta mobila plattformar ökat
har attackerna mot dessa accele-
rerat explosionsartat. Från att en-
bart försöka ta sig från telefon till
telefon via Bluetooth så har både
antalen attacker, målen med dessa
samt sätten att fortplanta sig ökat
och förändrats radikalt.
Under senaste året har antalet
kända hot och sårbarheter mot
mobila plattformar växt med 70%,
mer än på de föregående 5 åren
sammanlagt!
De 5 vanligaste hoten mot mobila plattformar idag är:• Kapning av bankapplikationer
och transaktioner från dessa
• CloudProxy – Mobiler kopplade
till cloudtjänster används för åt-
komst till data
• Ransomware – Mobilen låses och
betalning krävs för upplåsning
• Pay SMS och Pay Calls – Samtal
och SMS till betaltjänster sker i
bakgrunden
• Mobila Botnet – Mobilen fjärr-
styrs och kameran kan ta bilder
och film, mikrofonen kan spela
in ljud mm.
SOCIAL ENGINEERINGSyftet med Social Engineering är att säkerställa att skalskyddet hos kunden är tillräckligt för att minimera de risker som potentiellt finns för intrång via dessa olika vägar.
Kvalitetskontroll utifrån Best PracticeVi gör en kvalitetskontroll utifrån Best Practice,
vilket ligger till grund för eventuella förändringar/
förbättringar som kan göras i de olika system samt
rutiner som kontrollerats.
Målet med denna kontroll är att kunna komma med
förslag på åtgärder för att förbättra säkerheten. Vi-
dare är syftet att göra er medvetna om riskerna
med eventuellt upptäckta och identifierade sårbar-
heter och på så sätt höja säkerhetsnivån markant
även framåt.
Dessutom rekommenderar vi att den information
som samlas in vid dessa kontroller kan användas
som ett underlag för att sedan gå vidare och göra
även interna sårbarhetsanalyser för att proaktivt
förebygga uppkomsten av nya risker och sårbarhe-
ter i kundens IT infrastruktur och rutiner.
Testa medvetenhet kring phishing och andra social engineering attackerVi utvärderar organisationens känslighet för
phishing, spear phishing och andra tekniker inom
social engineering. Vi replikerar säkert e-mail
baserade attacker för att testa slutanvändarnas
förståelse kring er säkerhetspolicy och identifie-
rar system som kräver patchar och andra uppda-
teringar. Varje test backas upp av rapporter som
hjälper er med efterlevnads- initiativ och hjälper
till att sätta fingret på olika metoder för att stärka
datasäkerheten.
Vi kan även replikera attacker i flera steg som
genom enkla attacker kan äventyra slutan-
vändarsystem för att sedan kunna komma åt
backend resurser och avslöjar hur kedjor av
exploaterbara sårbarheter kan öppna vägar till
verksamhetskritiska system och data.
INFORMATIONSSÄKERHETHur vet du vilka tjänster som är prioriterade om det inte har diskuterats tidigare? Detta är en av de vanligaste orsakerna till interna konflikter när man skall ge service till medarbetare i verksamheten och för att kunna han-tera incidenter.
IT-Service ManagementAtt arbeta med IT som tjänster gör att man får ett
gemensamt språk som gör det enklare och tydli-
gare att anställa personal och utveckla befintliga
medarbetare.
Ändringshantering, servicedisk och serviceavtal är
ofta ”lågt hängande frukter” för att hitta kostnads-
besparingar, men problemhantering är ett av de
områden man bör etablera i ett första skede. Har
du redan passerat detta är det aktuellt att gå vida-
re med de övriga processer, aktiviteter som finns
beskrivna i ITIL och andra liknande publikationer.
Vi har ledande kompetens inom ITIL, där vi kan
hjälpa dig att vidareutveckla processer inom IT och
skapa förutsättningar för att verksamheten skall
bli en bra beställare eller att fortsätta utvecklas
som det naturliga valet för att ha hand om driften
av IT i verksamheten.
InformationssäkerhetAnvänder du sekretessavtal innan du lämnar ut in-
formation om framtida produkter eller maknadspla-
ner? Detta är en av de vanligaste frågeställningarna
vi stöter på när vi börjar ta fram regler för informa-
tionssäkerhet. Lika viktigt är det att ta fram planer
för att kunna hantera avbrott och störningar. Dessa
krisplaner, kontinuitetsplaner och avbrottsplaner
är det som ofta gör skillnaden för ett företag som
överlever en kris. Vi analyserar dagens miljö och tar
fram förslag på förbättringar. Det kan omfatta poli-
cyarbete, genomföra utbildning, ta fram checklistor,
driva säkerhetsfrågor tillsammans med ledningen
och se till att planer implementeras.
Informationssäkerhet är ett strategiskt, taktiskt och
operativt arbete där den röda tråden utgår ifrån att
identifiera en god riskekonomi, dvs att kostnader
för säkerhetsåtgärder är i balans med den vinst det
medför.
IT- och SäkerhetsrevisionerVad vet du om hur era regler hanteras i praktiken?
Osäkerheten leder ofta till felaktiga investeringar
baserade på subjektiva bedömningar. I våra revi-
sioner utgår vi ifrån era regler och riktlinjer men
stämmer även av hur relevanta dessa är mot stan-
dards och ramverk som ISO 27000, ITIL och Cobit.
Några exempel på revisioner som vi brukar göra är
• Generella IT kontroller där vi verifierar att det finns en grundläggande kontroll
• Applikationsrevisioner där vi verifierar att kritiska applikationer ger god intern kontroll
• Ämnesspecifika revisioner där vi beaktar enskilda områden eller händelser som exempel-vis projekt, hantering av avbrott och störning, avtalstvister, prestandaproblem, hantering av utlagd drift och validering av system som skall tas i drift.
Den verkliga nyttan med att IT- och Säkerhetsre-
visioner är att du får ett beslutsunderlag för att
kunna genomföra förbättringar och för att kunna
skapa en bättre beredskap att hantera oönskade
händelser.
RiskhanteringHar ni funderat kritiskt på de risker som finns i
verksamheten utifrån de behov som verksamheten
har? Är det svårt att veta vad som har en betydel-
se och som därmed gör nytta för verksamheten?
För att kunna ta beslut om åtgärder för risker kan
vi erbjuda er en anpassad metod och process för
att identifiera, bedöma och prioritera de risker
som är relevanta för er. Det kan handla om att ni
måste eliminera, begränsa eller acceptera risker,
vilket baseras på en objektiv och subjektiv be-
dömningsgrund.
Vi har utvecklat grundmodeller för att göra riska-
nalyser som används kontinuerligt. När vi anpas-
sar dessa för er, beaktar vi vilken omfattning som
ert arbete med riskhantering skall omfatta och hur
detta skall fungera i praktiken.
Gassås Gruppen
Kärleksgatan 2 A · SE 211 45 MALMÖ · SWEDEN
Tel. +46 40 630 36 30 · www.gassas.se
