Kontakt

Hei, så fint at du besøker oss.
Lurer du på noe mer, ta kontakt her:

Derfor bør du ta en penetrasjonstest av skymiljøer

Feilkonfigurasjon er en av de større utfordringene ved en migrasjon til skyen, og de viktigste kildene til inntrenginger i skymiljøer. En penetrasjonstest kan bidra til å se om det er blitt innført nye sårbarheter basert på migrering til skyen, sier Anders Granerud, Teamleder for Pentesting i Orange Cyberdefense Norway AS.

Hvorfor bør virksomheter gjennomføre teknisk revisjon av sine skymiljøer?

Det er enkelt og raskt å ta i bruk skytjenester, og kan gi økonomiske og tekniske fordeler for et selskap. I tillegg er skystøtten modnet og godt utviklet med en rekke tjenester som kan dekke alle behov. Resultatet er at selskap av alle størrelser i stadig større grad bruker disse løsningene. Enten det handler om hele eller deler av infrastrukturen, er det uunngåelig at sensitiv informasjon og kritiske funksjoner utføres av skytjenester. Tilgang via skyen betyr større eksponering. Det er avgjørende å sikre at denne tilgangen ikke svekker det totale sikkerhetsnivået.

Hva kjennetegner penetrasjonstesting i et skymiljø?

I en vanlig penetrasjonstest er miljøet klart definert, for eksempel webapplikasjon, internt nettverk, API og så videre. En penetrasjonstest i et skymiljø vil svært ofte kombinere en test fra Internett eksponert sone og en intern test inne i selve skyen. Både de som har alle tjenester i skyen og de som har delvis sky-tjeneste må kunne bruke skyløsningen over Internett. Testen består i første trinn av en ekstern Internett penetrasjonstest hvor vi prøver å infiltrere kundens sky via de ulike elementene som er eksponert for Internett (servere, lagringsområder osv.). Hvis denne testen lykkes, utfører vi deretter en intern inntrengingstest for å kontrollere skyen og identifisere de eksisterende sårbarhetene.

Brukes de samme metodene og angrepsverktøyene som i en vanlig penetrasjonstest?

Vanligvis handler den første delen av penetrasjonstesten om å søke etter og utnytte vanlige sårbarheter ved hjelp av konvensjonelle verktøy. Først når vi har infiltrert kundens sky, kan vi bruke verktøy som er spesifikke.

Brukes ulike teknikker for ulike skytjenesteleverandører?

Hvis vi bare håndterer angrepsteknikker som er spesifikke for skymiljøer: ja, for da bruker vi helt ulike tilnærminger for de ulike skytjenesteleverandørene. Løsningene til de ulike skytjenesteleverandørene varierer svært mye mellom Amazon, Google og Microsoft for å nevne noen. Dette er fordi de er basert på ulike teknologier.

Hvilke sårbarheter er det enklest å utnytte?

De fleste sårbarhetene som utnyttes under en penetrasjonstest skyldes at de ansvarlige har vært uaktsomme med skykonfigureringen. Ofte vil kunder som bruker et offentlig skytilbud tro at alt de konfigurerer i skyen er beskyttet mot eksterne angrep. Dette er en ganske vanlig misforståelse. Resultatet er at kundenes årvåkenhet svekkes i forhold til IT-sikkerhet i skymiljøene. Det er ikke uvanlig at vi under våre tester finner konfigurasjonsfeil som fører til innbrudd i kundenes sky med delvis eller til og med full kompromittering av skyen.

Har du noen råd?

Virksomheten kan sette i gang tiltak på flere nivåer for å sikre skymiljøene sine. For det første er det avgjørende at de som har ansvar for infrastrukturen slutter å tenke at hele eller deler av infrastrukturen må være i skyen. Vi ser at det har blitt vanlig å bruke skyløsninger for å oppnå mer fleksibilitet og tilgjengelighet og at man tror at det fører til mindre arbeid for IT-sikkerhetsteamet. Dette stemmer dårlig med virkeligheten og kan til og med gi motsatt effekt ved at infrastrukturen blir mer sårbar. Selskap som ønsker å gjøre infrastrukturen enda sikrere etter at hele eller deler av den har blitt overført, må de konfigurere alle sine tjenester i tråd med beste sikkerhetspraksis, for eksempel i henhold til prinsippet om lavest mulig tilgangsnivå for alt som handler om tilgang og identiteter.

Hvilke konfigurasjonsendringer anbefaler du at man gjør?

Det er vanskelig å gi et nøyaktig svar siden alle infrastrukturer er forskjellige og siden de påkrevde konfigurasjonene kan endres helt fra ett område til et annet. Uansett er det noen felles prinsipper som gjelder, for eksempel POLP-prinsippet om lavest mulig tilgangsnivå, god styring av inngående trafikk, installasjon av beskyttelsesløsninger på servicenivå (WAF) eller på endepunkt. Disse anbefalingene er bare noen av mange eksempler og skyleverandør-spesifikke løsninger er også tilgjengelig for virksomheten via markedsplasser.

Hvordan kan leverandørene gjøre skymiljøene sine enda sikrere?

Skymiljøer fra anerkjente leverandører er vanligvis godt sikret. Det finnes selvfølgelig offentlige sårbarheter som jevnlig identifiseres av de som forsker på IT-sikkerhet, men disse blir svært raskt tatt hånd om og rettet opp av skyleverandørene. I dag vil alle skytjenester som er tilgjengelig, ha elementer med innebygd sikkerhet. Virksomheter må imidlertid forstå hvordan disse kan konfigureres korrekt ved å benytte de riktige sikkerhetsprinsippene.

Har du noen råd for sluttbrukerne?

Beste praksis for brukere av en lokal infrastruktur, gjelder også for skybrukere, for eksempel bruk av sterke passord, installasjon av påkrevde oppdateringer, to-faktor autentisering, phishing overvåkenhet osv. Hvis disse prinsippene overholdes, vil spredningen av angrep fra de som eventuelt klarer å kompromittere arbeidsstasjonen til en skybruker, skje mye langsommere.

Og helt til slutt hvis virksomheten din skal flytte til skyen, er det viktig at dere benytter spesialisert kompetanse på dette feltet for å unngå å gjøre feil i migreringen.

Andreas Granerud i Orange Cyberdefence

Orange Cyberdefense er cybersikkerhetseksperten i Orange Group hvor også Basefarm tilhører.

Last ned vår Cloud Report 2020

Hils på noen fornøyde kunder

IT-sikkerhet på tvers av ulike skytjenester

Mer som dette

Kontakt

+47 40 00 41 00
hello@basefarm.com
Nydalen allé 37A, 0484 Oslo, Norge

Følg oss

Ta Kontakt

ABONNER PÅ NYHETSBREV

162

Cookie and Privacy Settings

How we use cookies

We may request cookies to be set on your device. We use cookies to let us know when you visit our websites, how you interact with us, to enrich your user experience, and to customize your relationship with our website.

Click on the different category headings to find out more. You can also change some of your preferences. Note that blocking some types of cookies may impact your experience on our websites and the services we are able to offer.

Essential Website Cookies

Google Analytics Cookies

These cookies collect information that is used either in aggregate form to help us understand how our website is being used or how effective our marketing campaigns are, or to help us customize our website and application for you in order to enhance your experience.

If you do not want that we track your visist to our site you can disable tracking in your browser here:

Other external services

We also use different external services like Google Webfonts, Google Maps and external Video providers. Since these providers may collect personal data like your IP address we allow you to block them here. Please be aware that this might heavily reduce the functionality and appearance of our site. Changes will take effect once you reload the page.

Google Webfont Settings:

Google Map Settings:

Vimeo and Youtube video embeds:

Cookie policy Basefarm

COOKIE POLICY BASEFARM

1. COOKIES
1.1 What are cookies?

By using the website you consent to that Basefarm stores cookies on your computer. Cookies are small text files that are placed on your computer while you are browsing a website.

1.2 Basefarm’s use of cookies

Basefarm uses cookies to facilitate your use of our website. This includes using the information collected by the cookies to confirm your login and to remember personalised details and to facilitate the availability of the services on the website.

Cookies are also used to collect information on how the website is used. In addition, with our cooperation partners we collect anonymous information of which browsers that visit the website to show relevant advertising (interest based advertising).

1.3 Manage your cookies

Most browsers are set up to automatically accept cookies. By changing your browser’s settings you can choose between accepting cookies, receiving information when a cookie is placed, or blocking cookies. The way to manage cookies may differ between browsers, but normally the menu is reached through tools or alternatives. If you decide to block Basefarm’s cookies, this may limit the functionality of the website.

You can find more information about cookies and how to delete or block cookies on the website www.allaboutcookies.org.

1.4 More detailed information

Cookie	Cookie used and domain	Typ of Cookie	What does it do?	How long is the cookie saved?
	SESSxxxxxxxxxxxxxxxxxxx basefarm.com	Session cookie	The cookie is used to keep information (not password) about the site editors (Basefarm marketing department)	The cookie is deleted after each session.
Google Analytics	[_utma, _utmb, _utmc, _utmz, _ga][Google domain]	Link	Link	Link
Pardot	Pardot, visitor_id128211, lpv128211 pi.pardot.com	Third party cookie	Link	The cookie is deleted after each session.
ProspectEye	pe99dd216ea3 tr.prospecteye.com	Third party cookie	Link	10 months

1. Introduction
Basefarm is committed to protect and respect your privacy. With this privacy policy Basefarm describes how it ensures that your personal data and other data is processed in accordance with applicable data protection laws and cookie legislation.

2. Data controller
Basefarm AS, reg. no. 982 211 743, Nydalen Allé 37a, 0484 Oslo, Norway, is the data controller in relation to personal data being processed on the Norwegian and English versions of the website.
Basefarm AB, reg. no. 556638-0639, Sveavägen 159, 113 46 Stockholm, Sweden, is the data controller in relation to personal data being processed on the Swedish version of the website.
Basefarm BV reg. no. [•], Beechavenue 106, 1119 PP Schiphol-Rijk, Netherlands, is the data controller in relation to personal data being processed on the Dutch version of the website.
The aforementioned Basefarm entities are collectively referred to as “Basefarm” in the following. You will find Basefarm’s contact information under section 10.

3. When does basefarm collect personal data?
When you or your employer sets up an account or signs up for Basefarm’s newsletter;
When you apply for a job at Basefarm or otherwise send a job application to Basefarm;
In the event you turn to Basefarm with inquiries or requests via e-mail or telephone; and
If you have accepted the use of cookies, Basefarm may also collect your IP address. For more information about Basefarm’s use of cookies, please see section 12.

4. What data may Basefarm collect?
The personal data Basefarm may collect includes information about your name and contact details such as address, telephone number and e-mail address, company and any other information you provide. If you apply for a job at Basefarm, Basefarm will process your CV as well as any other information you attach with your application.

5. How does Basefarm process personal data?
The personal data collected by Basefarm is used to manage customer relations, assess potential employees and assist customers and website visitors with any requests or inquiries made on the website. The information may also be used for monitoring and development of Basefarm’s business and website, for example by analyzing statistics of website visitors, and to protect Basefarm’s rights.
If you apply for a job, Basefarm only uses your personal data for the purposes for which you provided the information. However, Basefarm may save interesting applications even after the recruitment period is over. Such applications may also be transferred to other entities within the Basefarm group.

6. To whom may Basefarm disclose the information?
Basefarm will not sell, lease or otherwise transfer any personal data collected to a third party. Basefarm may however transfer the personal data to other companies within the Basefarm group or to business partners if it is necessary to fulfil its obligations towards you.
Personal data may be disclosed if it is necessary to:
a) Comply with applicable law, regulation or similar or to comply with a legal process, request or order from an executive authority;
b) Defend Basefarm’s legal interests; or to
c) Detect, prevent, or otherwise avoid fraud, security breaches or technical issues.

7. Links to external websites
Basefarm’s website may contain links to third-party websites. Basefarm is not responsible for the processing of your personal data on such websites.

8. Amendments
If this policy is amended, Basefarm will publish the amended policy at www.basefarm.com with information about when the amendments will enter into force. If Basefarm carry out any significant changes to the policy, Basefarm may choose to inform by e-mail or by publishing a message on the website.

9. The right to information and recifications
You have the right to require information about what personal data Basefarm is processing about you and for what purposes. You are also entitled to have any incomplete or inaccurate data rectified, erased or blocked. Please see the contact information in section 10 should you have any questions about how Basefarm processes your personal data.

10. Basefarm’s contact information
If you have any questions relating to Basefarm’s processing of personal data, or if you want to invoke your right to access data, please contact relevant Basefarm entity on the address set out below:
Norway/Global:
Basefarm AS
PO Box 4488
Nydalen
0403 Oslo
Sweden:
Basefarm AB
Sveavägen 159
113 46 Stockholm
Netherlands:
Basefarm BV
Beechavenue 106
1119 PP Schiphol-Rijk

11. Security measures
Basefarm has taken the organizational and technical security measures required to protect personal data against unauthorized access, modification and deletion.

Preferens

Keep in touch with us - we’re aware that your inbox is a sacred place, and we’ve, built this page to put you in control.

With your email registration you are accepting that Basefarm is storing your personal data information and is using it to administrate your registration. We would like to send you personal emails with company news, content, invitation to events, webinars, reports, offerings, product and service information. Please check the boxes below what kind of personal information you would like to receive from us.

I am hereby giving consent that Basefarm is sending me emails on following topics:

Kontakt

Derfor bør du ta en penetrasjonstest av skymiljøer

Hvorfor bør virksomheter gjennomføre teknisk revisjon av sine skymiljøer?

Hva kjennetegner penetrasjonstesting i et skymiljø?

Brukes de samme metodene og angrepsverktøyene som i en vanlig penetrasjonstest?

Brukes ulike teknikker for ulike skytjenesteleverandører?

Hvilke sårbarheter er det enklest å utnytte?

Har du noen råd?

Hvilke konfigurasjonsendringer anbefaler du at man gjør?

Hvordan kan leverandørene gjøre skymiljøene sine enda sikrere?

Har du noen råd for sluttbrukerne?

Mer som dette

Derfor er AWS skytjenester en viktig plattform for kommunikasjonshuset Involve

Maris beste råd når du legger en Public Cloud strategi

Kostnadsstyring i en tid med multisky og skyspesifikk

Sikre kontinuitet for forretningskritiske applikasjoner i skyen

Hvordan blir teknologiåret 2021?

Kontakt

Følg oss

Andre har også lest denne

Sky(r)evolusjonen er i gang!

Sky(r)evolusjonen er i gang!

Cookie and Privacy Settings