Ethical hacking (Offensive security)

Identifiser kritiske sårbarheter i forsvaret ditt

Etisk hacking (“ethical hacking”), penetrasjonstesting, og “red teaming” er effektive metoder for å teste virksomhetens evne til å forebygge og oppdage angrepsforsøk. For å skape størst verdi for virksomheten bør slike tester gjennomføres så realistisk som mulig. Dette vil gi virksomheter mulighet til å prioritere tiltak basert på realistiske trussel-scenarioer, og dermed redusere risiko.

PwC bruker angrepsteknikker som benyttes av reelle trusselaktører. Dette gjør vi ved å benytte PwCs globale threat intelligence-sentre for å modellere testingen. 

Våre 4000 cybersikkerhetseksperter har egne sentre for forskning over hele verden. Våre eksperter i Norge tester alt fra de tekniske til de menneskelige og organisatoriske faktorene. Hensikten er å gi våre kunder en helhetlig vurdering av sikkerhetstilstanden på en så realistisk måte som mulig.

Kontakt oss for en uforpliktende prat

PwC kan hjelpe deg med å

  • Verifisere at utvikling og drift av IT-løsninger følger bransjestandarder og tilfredsstiller regulatoriske krav

  • Integrere sikkerhet fra design- og utviklingsfasen

  • Teste hvorledes løsninger er i stand til å motstå angrep og påvirkningsforsøk fra ulike, reelle trusselaktører og teknikker, eller

  • Undersøke hvorvidt virksomheten er forberedt på å oppdage og håndtere en sikkerhetstruende hendelse.

  • Finne tekniske svakheter og rotårsaksanalyser. Sannsynliggjøre trussel-scenarier og trusselaktører som er relevante for din bransje. 

  • Beskrive dine sårbarheter og komme med råd til hvordan de kan reduseres/fjernes.


Hvordan kan vi bistå deg?

Red Teaming

Evne til å oppdage og håndtere reelle angrepsscenarioer

Trusselaktører respekterer sjeldent begrensninger. Systemer eksisterer ikke i vakuum, og ingen systemer er “out-of-scope”. Til forskjell fra penetrasjonstesting er red teaming en simulering av hvordan ekte trusselaktører opererer for å nå sine mål.

En penetrasjonstest vil tradisjonelt fokusere på et enkelt scenario eller system, men en red team-øvelse vil kunne besvare hva en ressurssterk trusselaktør kan søke å oppnå. Dette hjelper virksomheter forstå hvordan de kan forsvare seg mot et målrettet cyberangrep. Måten testingen blir utført på kan involvere flere angrepsvektorer for å oppnå målet. Dette kan inkludere fysisk infiltrasjon for planting av avlyttingsutstyr, spear-phishing, og vannhullsangrep.

PwC har en egenutviklet metodikk for å levere virkelighetsnære og etterretningsdrevne tester. Testingen kan ofte kombineres med en parallell vurdering av virksomhetens evne til å oppdage og håndtere testscenarioet. På denne måten får virksomheten både testet i hvilken grad eksisterende sikkerhetskontroller fungerer, samt hvordan de kan oppdage og håndtere angrepsforsøk.

Vårt Red Team er eksperter på trusselforståelse og sikkerhetstesting, og samarbeider tett med din virksomhet for å levere en helhetlig tilnærming til angrepssimulering. Vi tar i bruk de nyeste teknikkene som benyttes av ulike trusselaktører og gir en realistisk vurdering av virksomhetens motstandsdyktighet.

Penetrasjonstesting og etisk hacking

Identifisering av sårbarheter i virksomhetens IT-miljø

Våre penetrasjonstestingstjenester bruker skreddersydde testmetodologier for å identifisere svakheter og sårbarheter.

Vi tilbyr forskjellige penetrasjonstestingstjenester avhengig av teknologien som testes og angrepsscenariet som etterlignes, eksempelvis:

  • Testing av webapplikasjoner - kombinerer automatisert sikkerhetstesting og manuell analyse av sårbarheter i alle faser av programvarens livssyklus, og følger OWASP ASVS for kartlegging og testing av kritiske sikkerhetsrisikoer for webapplikasjoner 

  • Intern infrastrukturtesting - dekker alle teknologier og operativsystemer i virksomhetens nettverk. Vi kan teste et begrenset utvalg systemer, eller eksempelvis utforske hva en trusselaktør med logisk tilgang til et internt nettverk kan oppnå

  • Test av ekstern infrastruktur - simulering av taktikker brukt av trusselaktører for å kartlegge eksterne systemer, samt å teste hvorvidt identifiserte sårbarheter kan gi tilgang til interne nettverk

Testing av IOT/OT/ICS/SCADA

Identifisering av svakheter og sårbarheter i produksjonsmiljøer

PwC tilbyr avanserte penetrasjonstestingstjenester skreddersydd for å identifisere forretningskritiske svakheter og sårbarheter i operasjonell teknologi- og IoT-miljøer.

Vårt Red Team har lang erfaring med testing av de største og vanligste løsningene innen både IoT, ICS og OT. Vi har god kjennskap til hvordan systemene fungerer og hvordan disse må settes opp og driftes for å opprettholde virksomhetens sikkerhet.

Eksempelvis: 

  • OT/ICS/SCADA: Testing av industrielle kontrollsystem (ICS) samt DCS- (Distributed Control System) og SCADA-systemer (Supervisory Control And Data Acquisition)

    Destruktiv og ikke-destruktiv testing av maskinvare. Vi har et dedikert laboratorium, samt et dedikert team med erfaring som utfører tester av maskinvare, driftsteknologi og IoT-miljøer

Etterretningsdrevet sikkerhetstesting av bank- og finansinstitusjoner

Threat Intelligence-Based Ethical Red Teaming (TIBER-EU)

Det finnes en rekke ulike typer tester på markedet som hjelper virksomheter forbedre sin grunnleggende "cyberhygiene". En av de mest effektive metodene er etterretningsdrevet sikkerhetstesting. For bank- og finansinstitusjoner har denne metodikken blitt formalisert under rammeverket Threat Intelligence-Based Ethical Red Teaming (TIBER-EU). PwC har lang erfaring med sikkerhetstesting av bank- og finansinstitusjoner med utgangspunkt i TIBER-rammeverket.

Etterretningsdrevne tester gir en omfattende forståelse av svakheter og sårbarheter på organisatorisk, menneskelig og teknisk plan, og gir en detaljert trusselvurdering som kan brukes til å styrke virksomhetens beslutningsgrunnlag. Det leveres til slutt en rapport. I tillegg kan PwC bistå med planlegging for hvilke tiltak som skal implementeres.

Prosessen vi benytter har følgende steg:

  • Generic Threat Landscape (GTL) report: Vi tar utgangspunkt i den lokale GTL-rapporten som i mange tilfeller utarbeides av sektorens responsmiljø (f.eks. et CERT). Dersom ikke dette foreligger kan PwC produsere en bransjespesifikk trusselvurdering tilpasset virksomhetens behov.

  • Threat Intelligence: Med utgangspunkt i GTL-rapporten vil PwC kartlegge virksomheten i henhold til vår etterretningsmetodikk. Dette inkluderer målutvelgelse, informasjon om infrastruktur, nøkkelpersoner o.l. som kan identifiseres ved hjelp av informasjonsinnhenting fra både åpne og lukkede kilder. Deretter vil vi utarbeide angrepsscenarioer og modus operandi for prioriterte trusselaktører.

  • Red Teaming: Selve testfasen baserer seg på angrepsscenarioene som ble utarbeidet i Threat Intelligence-fasen. Testingen gjennomføres ved at PwC benytter teknikker, taktikker og prosedyrer som etterlever aktuelle trusselaktører. I tillegg anbefaler vi at denne fasen utvides med et team som bistå virksomhetens CSIRT/SOC/CERT for å vurdere i hvilken grad de er i stand til å oppdage og håndtere angrepsforsøkene.
  • Implementing av tiltak og avslutning: Etter at testfasen er gjennomført vil PwC utstede en rapport som beskriver testmetodikk, identifiserte svakheter og sårbarheter, samt anbefalte tiltak.


Kontakt oss

Jan Henrik Schou Straumsheim

Partner | Cyber Security & Privacy, Oslo, PwC Norway

415 26 290

Kontakt meg

Nicolai Grødum

Teknisk direktør | Leder red team, Oslo, PwC Norway

415 17 321

Kontakt meg