Så arbetar jag med applikationer, OT/IoT och fysisk säkerhet när attackytan är bred och kraven på realism är höga
När jag tänker på penetrationstest tänker jag inte bara på servrar och brandväggar. Många av de mest intressanta och viktiga riskerna finns i de delar som ligger närmast verksamheten: applikationer, industriella miljöer, uppkopplade enheter och fysisk säkerhet.
Det är också här jag tycker att ett test måste vara både tekniskt starkt och praktiskt förankrat. Om attackytan är bred måste testet vara fokuserat nog för att ge tydliga resultat, men samtidigt realistiskt nog för att säga något viktigt om verkligheten.
Applikationstest måste utgå från hur applikationen faktiskt används
När jag testar en applikation vill jag inte bara leta generiska brister. Jag vill förstå hur applikationen används, vilken funktion den har i verksamheten, vilken data den hanterar och vilka flöden som är mest kritiska.
Det gäller oavsett om det är en webbapplikation, klientapplikation eller mobilapplikation.
För mig är det viktigt att testa sådant som verkligen spelar roll: autentisering, auktorisering, sessionshantering, dataflöden, felhantering, klient-till-server-logik, exponerade API:er och sådant som kan ge åtkomst till känslig information eller otillåtna funktioner.
Jag tycker om applikationstest som visar mer än bara “det finns en sårbarhet här”. Jag vill kunna visa vad en angripare faktiskt kan göra med den, och vad kunden bör förändra i både applikationen och arbetssättet runt den.
Ett bra applikationstest måste ge utvecklingsteamet något att arbeta vidare med
För mig är ett applikationstest inte riktigt lyckat om resultatet bara stannar hos säkerhetsfunktionen. Det måste också vara användbart för dem som ska åtgärda problemen.
Därför vill jag skriva fynd och rekommendationer på ett sätt som hjälper utvecklare, systemägare och tekniskt ansvariga att förstå vad som behöver göras. Jag tycker inte om onödigt vaga råd. Jag vill kunna visa vad som bör ändras i logik, åtkomstkontroll, validering eller säker konfiguration.
När rapporten fungerar som bro mellan säkerhet och utveckling blir testet mycket mer värdefullt.
OT- och IoT-miljöer kräver respekt för verksamheten
När det gäller OT- och IoT-miljöer tycker jag att testningen måste vara särskilt genomtänkt. Här kan man inte bara köra på med samma arbetssätt som i en vanlig kontorsmiljö.
I sådana miljöer tittar jag särskilt på segmentering, leverantörsanslutningar, kommunikationsprotokoll, exponerade gränssnitt, hantering av industriella komponenter och hur väl miljön står emot både aktiv och passiv testning inom säkra ramar.
Det viktiga för mig här är att kombinera realism med hänsyn. Testet måste vara tillräckligt skarpt för att ge en sann bild, men inte genomföras på ett sätt som skapar onödiga risker för drift och tillgänglighet.
Jag tycker att just OT- och IoT-test visar hur viktigt det är att förstå både teknik och verksamhetskonsekvens samtidigt.
Fysisk säkerhet får inte glömmas bort
Många miljöer har kommit långt i digital säkerhet men underskattar fortfarande fysisk säkerhet. För mig är det en viktig del av helheten.
Om en angripare kan ta sig in i lokaler, manipulera fysisk utrustning, kopiera passerkort, kringgå låssystem eller använda social ingenjörskonst för att få tillträde, då förändras riskbilden snabbt.
Jag tycker därför att fysisk testning är mycket värdefull i rätt miljö. Den visar om de fysiska skydden faktiskt fungerar i praktiken, inte bara på papper. Den hjälper också kunden att se var processer, rutiner och mänskliga faktorer behöver stärkas.
Det här är ett område där realism är särskilt viktig. Testet ska vara genomtänkt, respektfullt och säkert genomfört, men samtidigt tillräckligt verklighetsnära för att ge ett ärligt resultat.
Jag ser hela attackytan som ett sammanhang
Det jag tycker är mest intressant i de här testerna är ofta hur flera delar hänger ihop.
En applikation kan ge första åtkomst. En IoT-enhet kan ge fotfäste i nätet. En fysisk svaghet kan öppna dörren till något som annars hade varit väl skyddat. En leverantörsanslutning i en OT-miljö kan skapa en väg runt det man trodde var god segmentering.
Det är därför jag tycker om ett helhetsperspektiv. Jag vill inte bara förstå varje testtyp för sig. Jag vill förstå hur en verklig angripare skulle kunna kombinera dem.
Det är ofta där de viktigaste insikterna finns.
Jag vill att resultatet ska bli praktiskt, inte bara imponerande
När ett testområde är tekniskt avancerat är det lätt att resultatet också blir tekniskt tungt. Jag försöker undvika det.
Jag vill att kunden ska få: en tydlig bild av vilka risker som finns, vilka som är mest kritiska, vilka scenarier som är mest realistiska och vilka åtgärder som gör störst skillnad först.
Det gäller oavsett om testet gäller en webbapplikation, ett OT-segment, IoT-enheter eller fysisk säkerhet.
För mig är det ett styrketecken när rapporten inte bara visar att testet var avancerat, utan också hjälper kunden att ta praktiska steg direkt.
Så vill jag arbeta med applikationer, OT/IoT och fysisk säkerhet
Jag vill arbeta med de här områdena på ett sätt som kombinerar realism, teknisk noggrannhet och verksamhetsförståelse.
För mig är målet att kunden ska få mer än ett tekniskt resultat. Kunden ska få en tydligare bild av sin verkliga attackyta, sina mest kritiska svagheter och de åtgärder som faktiskt stärker säkerheten på riktigt.