Fire menn som jobber med etisk hacking ser på flere store dataskjermer

Etisk hacking

Ville virksomheten din overlevd et reelt cyberangrep? Identifiser kritiske sårbarheter i dine systemer og få en oversikt over risikoen din virksomhet står overfor.

Den økende digitaliseringen skaper mange nye inngangsporter for trusselaktører som kan kompromittere kritiske systemer og hente ut data og kundeinformasjon. Virksomheter må sørge for at sikkerheten er på et tilstrekkelig høyt nivå og samtidig etterkomme krav fra tilsynsmyndigheter og interessenter om å kvantifisere hvor effektive sikkerhetskontrollene deres er på tvers av systemer og plattformer. I tillegg må virksomheter ofte møte krav om å legge frem en tydelig plan for utbedringer.

Vår tilnærming til etisk hacking

Vi tar sikte på å gjenskape de teknikkene og taktikkene som virkelige trusselaktører benytter. Dette gjør vi ved å levere skreddersydde, etterretningsdrevne tester som ettergår en virksomhets forsvar i dybden, inkludert menneskelige og organisatoriske faktorer. For å levere dette benytter vi oss av PwC Global Threat Intelligence for å modellere testingen. Videre tar vi utgangspunkt i hver enkelt virksomhet sin risikoprofil for å gjøre testingen så realistisk og skreddersydd som mulig.

Hva er etisk hacking?

Etisk hacking, også kalt sikkerhetstester, penetrasjonstester eller pentester, er en effektiv måte å teste en virksomhets kapabiliteter innen forebyggende sikkerhet på, samt evne til å oppdage og håndtere reelle scenarier innen cyberangrep.


For å skape størst verdi for virksomheten bør slike øvelser gjennomføres så realistisk som mulig, helst med etterretningsdrevne angrepsscenarier for å identifisere eksisterende svakheter og forbedringsområder.

Hvorfor gjennomføre øvelser for etisk hacking?

Forstå og kommunisere virksomhetens sikkerhetsproblemer til viktige interessenter.

Utvikle en konkret og gjennomførbar tiltaksplan som tar sikte på å løse de grunnleggende problemene og redusere risikoen for hele organisasjonen.

Vurdere evnen til å oppdage og respondere på reelle cyberangrep i stedet for teoretiske scenarier.

Evaluere effektiviteten til sikkerhetsverktøy, teknologi og prosesser.

Slik kan vi hjelpe deg

  • Verifisere at utvikling og drift av IT-løsninger følger bransjestandarder og tilfredsstiller regulatoriske krav
  • Integrere sikkerhet fra designfasen og utviklingsfasen
  • Teste hvorledes løsninger er i stand til å motstå faktiske angrep og påvirkningsforsøk fra ulike, reelle trusselaktører
  • Undersøke hvorvidt virksomheten er forberedt på å oppdage og håndtere en sikkerhetshendelse
  • Beskrive virksomhetens tekniske sårbarheter og komme med anbefalte konkrete tiltak til hvordan de kan utbedres

Våre tjenester

Identifiser sårbarheter i IT-systemer

  • Webapplikasjoner - verktøystøttet manuell sikkerhetstesting av sårbarheter i alle faser av programvarens livssyklus. Følger retningslinjene beskrevet i OWASP ASVS for kartlegging og testing av kritiske sikkerhetsrisikoer for webapplikasjoner, samt dekker OWASP Top 10 listen som inneholder de ti mest vanlige sikkerhetsrisikoene i webapplikasjoner.
  • Intern infrastruktur - dekker alle teknologier og operativsystemer i virksomhetens nettverk. Vi kan teste et begrenset utvalg systemer, eller eksempelvis utforske hva en trusselaktør med et fotfeste på innsiden kan oppnå.
  • Ekstern infrastruktur - simulering av taktikker brukt av trusselaktører for å kartlegge systemer eksponert mot internett, samt å teste hvorvidt identifiserte sårbarheter kan gi tilgang til interne nettverk.
  • Endepunkt- og e-postsikkerhet - sikkerhetstest som undersøker hvor vanskelig det er for en trusselaktør å bruke en klient/laptop som en inngangsport inn i en virksomhets nettverk. Testen kan tilpasses til å se på e-postsikkerhet og/eller klientsikkerhet. Ved test av e-post sikkerhet ser testerne på hvor god beskyttelse bedriftens e-post-løsning i kombinasjon med sikkerhetsfunksjonene på enheten gir mot e-post med skadelig innhold. Dette er ofte en vei inn for trusselaktører under et større angrep. Videre kan det gjøres en analyse av sikkerhetskonfigurasjon av klienter. Denne ser på herding av BIOS/UEFI og fysiske porter, diskkryptering (f.eks Bitlocker), operativsystem, og installerte tredjepartsprogrammer.
  • Fysisk sikkerhet - undersøker om det er mulig å få fysisk tilgang til virksomheten ved å bevege seg rundt lokalene og benytte ulike teknikker for å komme på innsiden uten å bli oppdaget. Teknikker testerne benytter inkluderer sosial manipulasjon, manipulasjon av låser og kloning av adgangskort. Videre kan testerne plassere ulike enheter på virksomhetens lokaler for å koble de opp mot nettverket og undersøke om tilgangene man oppnår er begrenset eller om det er mulig å få full tilgang til virksomhetens nettverk.

Vurder virksomhetens evne til å oppdage og respondere på reelle cyberangrep

En penetrasjonstest vil tradisjonelt fokusere på å identifisere så mange tekniske sårbarheter som mulig uten fokus på å holde seg skjult. En red team-øvelse vil i motsetning ha hovedfokus på evaluering av virksomhetens deteksjons- og responskapabiliteter, og er ofte rettet mot spesifikke mål som skal oppnås uten å bli oppdaget og stoppet. Relevante mål kan være å få tilgang til spesifikke sensitive data, få kompromittert virksomhetskritiske systemer, eller komme i en posisjon i virksomhetens nettverk der skadevare (f.eks. løsepengevirus) kan bli distribuert. Dette hjelper virksomheter å forstå hvordan de kan forsvare seg mot et målrettet cyberangrep fra en ressurssterk og målbevisst trusselaktør. I tillegg vil virksomheten få testet i hvilken grad eksisterende sikkerhetskontroller fungerer, status på nåværende deteksjonskapabiliteter og logger, samt hvordan organisasjonen responderer på et reelt avansert angrep.

PwC har en egenutviklet metodikk for å levere virkelighetsnære og etteretningsdrevne tester. Teamet som utfører testingen kan bestå av ressurser fra vår trusseletteretningsavdeling i tillegg til sikkerhetstestere. Sikkerhetstesterne som utfører disse testene, vårt Red Team, er eksperter på trusselforståelse og sikkerhetstesting, og samarbeider tett med virksomheten for å levere en helhetlig tilnærming til angrepssimulering. Testerne tar i bruk de nyeste teknikkene som benyttes av ulike trusselaktører og gir en realistisk vurdering av virksomhetens motstandsdyktighet. PwCs team kan simulere ulike trusselaktører ved og blant annet benytte egenutviklede verktøy og rammeverk som eksempelvis et egenutviklet Command & Control rammeverk. Dette gjør at testerne har muligheten til å også simulere svært avanserte trusselaktører i red team-øvelser.

Vurder virksomhetens evne til å detektere ulike ondsinnede handlinger

PwC tilbyr øvelser der virksomheter kan teste og forbedre sin evne til å detektere ondsinnede handlinger gjennom purple team-øvelser. En purple team-øvelse involverer både sikkerhetstestere (red team) og virksomhetens ansvarlige på forsvarssiden (blue team). PwC tilbyr også å inkludere konsulenter med erfaring med deteksjonsarbeid for å bistå virksomhetens ansvarlige på forsvarssiden i purple team-øvelser.

Sikkerhetstesterne utfører predefinerte handlinger/angrep og samarbeider så med forsvarssiden for å identifisere hva som ble oppdaget og hva som gikk ubemerket hen. På den måten samarbeides det for å forbedre deteksjonskapabiliteten og forsvarsmekanismene hos virksomheten som øver.

PwC tilpasser disse øvelsene etter virksomheters modenhet og ønske slik at testingen gir verdi. Det er mulig å kjøre øvelsen som et enkelt prosjekt, eller jevnlig med iterasjoner for å teste deteksjonsevnen etter at tiltak er innført.

Threat Intelligence-Based Ethical Red Teaming (TIBER) og Threat Led Penetration Testing (TLPT)

Det finnes en rekke ulike typer tester på markedet som hjelper virksomheter å forbedre sin grunnleggende "cyber-hygiene". En av de mest effektive metodene er etterretningsdrevet sikkerhetstesting. For bank- og finansinstitusjoner har denne metodikken blitt formalisert under rammeverket Threat Intelligence-Based Ethical Red Teaming (TIBER-EU). Videre kommer reguleringen Digital Operational Resilience ACT (DORA) med sine krav til Threat Led Penetration Testing (TLPT) som bygger på TIBER til å tre i kraft i markedet i løpet av de neste årene. PwC tilbyr å gjennomføre tester i henhold til disse standardene, i tillegg til tester som baserer seg på standardene.

Etterretningsdrevne tester gir en omfattende forståelse av svakheter og sårbarheter på organisatorisk, menneskelig og teknisk plan, og gir en detaljert trusselvurdering som kan brukes til å styrke virksomhetens beslutningsgrunnlag. Det leveres til slutt en rapport som forklarer hvilke svakheter og sårbarheter som er identifisert i tillegg til hvilke tiltak PwC anbefaler at implementeres for å forbedre svakhetene.

Prosessen vi benytter har følgende steg:

  • Generic Threat Landscape (GTL) report: Vi tar utgangspunkt i den lokale GTL-rapporten som i mange tilfeller utarbeides av sektorens responsmiljø. For TIBER-NO blir denne utarbeidet av NFCERT. Dersom ikke dette foreligger kan PwC produsere en bransjespesifikk trusselvurdering tilpasset virksomhetens behov.
  • Threat Intelligence: Med utgangspunkt i GTL-rapporten vil PwC kartlegge virksomheten i henhold til vår etterretningsmetodikk. Dette inkluderer målutvelgelse, informasjon om infrastruktur, nøkkelpersoner og lignende som kan identifiseres ved hjelp av informasjonsinnhenting fra både åpne og lukkede kilder. Denne fasen vil avsluttes med at det blir produsert en “Threat Intelligence” rapport. Denne rapporten blir videre brukt som et utgangspunkt av red teamet som utarbeider en “Red Team Test Plan”. Denne planen inkluderer relevante angrepsscenarioer og fremgangsmåter for prioriterte trusselaktører.
  • Red teaming: Selve testfasen baserer seg på angrepsscenarioene som ble utarbeidet i Threat Intelligence-fasen. Testingen gjennomføres ved at PwC benytter teknikker, taktikker og prosedyrer som etterlever aktuelle trusselaktører. I tillegg anbefaler vi at denne fasen utvides med et team som bistå virksomhetens CSIRT/SOC/CERT for å vurdere i hvilken grad de er i stand til å oppdage og håndtere angrepsforsøkene.
  • Implementing av tiltak og avslutning: Etter at testfasen er gjennomført vil PwC utstede en rapport som beskriver testmetodikk, identifiserte svakheter og sårbarheter, samt anbefalte tiltak.

Identifisering av svakheter og sårbarheter i produksjonsmiljøer

PwC tilbyr avanserte penetrasjonstestingstjenester skreddersydd for å identifisere forretningskritiske svakheter og sårbarheter i operasjonell teknologi (OT)- og Internet-of-Things (IoT)-miljøer.

Vårt team har lang erfaring med testing av de største og vanligste løsningene innen både IoT, industrielle kontrollsystem (ICS) og OT. Vi har god kjennskap til hvordan systemene fungerer og hvordan disse må settes opp og driftes for å opprettholde virksomhetens sikkerhet. Vi forstår at man ikke bare kan bruke den samme tilnærmingen man er vant med fra IT systemer i kontornett for å sikre operasjonelle miljøer.

  • Vi tester eksempelvis:
    Dedikert testing av enkle OT komponenter som DCS (Distributed Control System) og SCADA (Supervisory Control And Data Acquisition) systemer i et kontrollert testmiljø
  • Testing av segmentering av OT-miljøet fra kontornettet (f.eks hvor vanskelig er det for en trusselaktør a skaffe seg tilgang til styringssystemer etter å ha kompromittert en kontorlaptop)
  • Testing av hele OT-miljøer før de tas i bruk

Kontakt oss

Jan Henrik Schou Straumsheim

Partner | Cyber Security & Privacy, Oslo, PwC Norway

415 26 290

Kontakt meg

Nicolai Grødum

Teknisk direktør | Leder red team, Oslo, PwC Norway

415 17 321

Kontakt meg