Ny liten datadiod från Advenica: DD1G

Jag tog ett snack med Jens Bogarve som är produktchef på svenska säkerhetsföretaget Advenica om deras nya lilla datadiod DD1G. Denna nya datadiod ingår i serien SecuriCDS och jag har tidigare bloggat om den större versionen som heter DD1000A. Storleken på denna mindre datadiod är 130x20x150/163 mm.

1. Vad är skillnaden mellan DD1G och de större modellerna som ni säljer exempelvis DD1000A som jag bloggade om tidigare?

Det är samma datadiodsteknik i Advenicas DD1G som DD1000A och DD1000i, prestandan är oförändrad. Skillnaden ligger förutom storleken främst i hur strömförsörjningen hanteras, i D1000A finns det möjlighet att använda separerad kraft medan i DD1G är det redundant kraft.

2. Hur ser efterfrågan ut gällande dessa. Tänkte mig att det finns ett behov av dessa mindre datadioder

Platsbrist är ett problem i flera tillämpningar, en mindre datadiod har varit önskvärt hos flera av våra kunder. Priset har också varit en faktor för våra kunder som nu ser att dom kan utnyttja datadiodens säkerhet där det tidigare inte gått på grund av ekonomiska skäl.

Vi ser också att datadioder behövs i industriellmiljö, till exempel i SCADA-nätverk, därav att vi har tagit fram en modell för DIN-skenemontage. Datadioderna blir mer och mer anpassade för den miljö dom är tänkta att verka i.

3. Kan du säga något om priset eller om hur mycket billigare denna version är jämfört med de större modellerna?

Listpriset för denna enhet är 31 448 SEK (€2995).

4. Förutom själva datadioden, vilka funktioner är det som efterfrågas som dioden ska lösa? Överföring av loggar? Patchar? Video?

Advenica

Överföring av loggar och video är bra exempel på vad Advenicas DD1G kan användas till. Genom att använda någon form av proxy-server kan andra protokoll tillgodoses. DD1G agerar på Ethernet Layer 2 vilket innebär att omgivande system måste vara anpassade för enkelriktad kommunikation, till exempel genom att använda UDP.

Advenicas datadiod DD1000i har inbyggda proxy-servrar för att hantera filöverföring, email, tid och loggar.

5. Vilka branscher är det som börjar få upp ögonen för datadioder, tänker mig att organisationer inom försvarsindustri alltid varit kunder men att dioder kan användas inom många andra branscher såsom sjukvård och kryptovalutor?

Försvarsmakter hos olika länder och myndigheter är fortfarande de största användarna av datadioder. Transport, eldistribution och V/A, men även finansiella och industriella företag, ser numera fördelarna med datadioder ur ett säkerhets och ackrediteringsperspektiv.

Det är ofta branscher som berörs av säkerhetsskyddslagen som behöver bevisa enkelriktningen i informationsflödet och segmenteringen mellan olika nätverk. Största fördelen med att använda en datadiod är att den inte går att konfigurera fel så att information läcker i fel riktning, därmed blir ackrediteringsarbetet betydligt enklare.

Produktblad finner du här samt mer information på Advenicas hemsida.

Faktaruta datadiod

En datadiod säkerställer att data enbart kan skickas i ena riktningen. Detta behövs när information ska skickas mellan nätverk i olika säkerhetszoner eller säkerhetsklasser.

Skiss från en presentation som FRA höll för några år sedan:

WEASEL – Ny bakdörr från Facebook

Facebook har släppt ett intressant nytt implantat (bakdörr) vid namn WEASEL. Mjukvaran är skriven i Python3 och utnyttjar DNS samt AAAA-records för att skicka och ta emot beacons. Den behöver inte heller några externa beroenden och kan således köras under de flesta operativsystem.

Ett implantat är en typ av mjukvara som används av angripare för att utföra olika uppgifter och kommunicera in och ut ur nätverk. WEASELs klientdel har inga direkta inbyggda funktioner förutom att sköta kommunikationskanalen, självradering och intervall för kommunikation. Vill du ha mer funktioner så får du själv bygga till det eftersom WEASEL stödjer exekvering (eval) av Python3-kod.

Fokus vid utvecklingen av WEASEL har varit på att försöka försvåra IT-forensiska undersökningar och därför finns ej stöd för persistens. Mjukvaran stödjer inte heller att flertalet operatörer jobbar mot samma instans.

För kryptering av data över DNS så används AES-128 i CTR mode samt Diffie-Hellman för nycklar. Oklart hur stödet för Windows ser ut men går säkert att åstadkomma med Pyinstaller.

Här hittar du WEASEL på Github:

Jag har tyvärr ej testat WEASEL ännu men har det på min todo-lista. Om du gör det eller redan testat så lämna gärna en kommentar om dina erfarenheter.

Bild på vessla av Keven Law – originally posted to Flickr as On the lookout…, CC BY-SA 2.0

Två intressanta sårbarheter

VPN-tunnel

De senaste dagarna så har det publicerats två intressanta sårbarheter som jag tänkte skriva några rader om, den första är en ”VPN bugg” som påverkar många olika typer av VPN-anslutningar och den andra handlar om en miss i operativsystemet OpenBSD som medger att flertalet autentiseringsmekanismer går att kringgå.

OpenBSD

Denna sårbarhet har CVE 2019-19521 och upptäcktes av säkerhetsföretaget Qualys. Även så finns det ett antal relaterade sårbarheter enligt följande:

  • CVE-2019-19520: Local privilege escalation via xlock
  • CVE-2019-19522: Local privilege escalation via S/Key and YubiKey
  • CVE-2019-19519: Local privilege escalation via su

Men den allvarligaste medger att du över nätverket (remote) kan kringgå autentiseringen i flertalet program såsom smtpd, ldapd och radiusd.

Det är nämligen så att programmet login_passwd anropas vid autentisering. Och om informationen som skickas vidare till login_passwd innehåller -schallenge som argument så returneras lyckad inloggning, se följande exempel:

$ printf '\0-schallenge\0whatever' | openssl base64
AC1zY2hhbGxlbmdlAHdoYXRldmVy

$ openssl s_client -connect 192.168.56.121:25 -starttls smtp
...
EHLO client.example.com
...
AUTH PLAIN AC1zY2hhbGxlbmdlAHdoYXRldmVy
235 2.0.0 Authentication succeeded

Här kan du se mer information om dessa sårbarheter: authentication-vulnerabilities-openbsd.txt

VPN

Denna sårbarhet går under CVE 2019-14899 och medger att en angripare kan injicera data i en VPN-tunnel eller lista ut vilken IP som blivit tilldelad inne i en tunnel. Denna sårbarhet påverkar flertalet Linux OS, FreeeBSD, OpenBSD, Android och macOS.

Kortfattat kan man säga många operativsystem som etablerar VPN-tunnlar inte bryr sig om vilket gränssnitt som data kommer in på. Så om du har ett tunnel-gränssnitt och data helt plötsligt kommer in på ett annat gränssnitt så funkar det lika bra.

Och Colm MacCárthaigh som jobbar på Amazon meddelar att Amazon Linux inte påverkas men att attacken kan bli ännu mer allvarlig om DNS kan påverkas inne i VPN-tunneln:

Hijacking traffic via DNS is usually much more powerful than payload injection; for example an attacker can observe all connections but choose to target only connections that do not use TLS. This is more flexible and helps evade detection.

Mer omfattande information hittar du i följande PDF samt följande två intressanta patchar till OpenBSD:

Test av nya Kali Linux 2019.4

Det har precis släppts en ny version av Kali Linux som går under namnet 2019.4 och är således den fjärde upplagan i år.

Jag testade att uppgradera min Vagrant-installation genom att köra:

vagrant box update

Och sedan köra en vagrant destroy samt vagrant up så lirade allt. Givetvis går det även att uppgradera genom att köra apt dist-upgrade.

Jag stöter dock på en hel del strul: Första gången jag startar webbläsaren så krashar den virtuella maskinen. Samt när skärmsläckaren går igång så låser sig hela VM:en, vet inte om detta är relaterat till VirtualBox.

Nyheter i Kali Linux 2019.4 inkluderar följande:

  • Ny skrivbordshanterare: Xfce
  • Nytt GTK3-tema
  • Nytt läge för “Kali Undercover”
  • Nytt dokumentationssystem som använder git
  • Public Packaging – getting your tools into Kali
  • Kali NetHunter KeX – Fullständig Kali desktop på Android-baserade enheter
  • BTRFS-filsystem (b-tree) under setup
  • Stöd för PowerShell
  • Kernel är uppgraderad till Linux 5.3.9
  • Samt mängder av uppdateringar och buggfixar

Att man gått bort från Gnome till fördel för Xfce beror bl.a på prestandaförbättringar och att Xfce nu kan köras på flertalet plattformar som Kali stödjer såsom ARM.

Skärmdump från nya fönsterhanteraren Xfce:

Inloggningsfönstret:

Stöd för nytt ”Undercover mode” som gör att du som vill använda Kali på mer publika miljöer inte ska sticka ut allt för mycket:

Kali Linux Undercover Mode

Gillar det du läser? Stöd mig gärna via Patreon, alla bidrag hjälper.

Jag testade även att installera Microsoft PowerShell version 6.2.2 genom att köra:

apt install powershell

Och sedan testade jag att ladda hem en fil efter att ha startat ett PowerShell Shell med pwsh:

Intressant incident

Oskar Sjöberg delade en intressant write-up om en incident i Facebook-gruppen Kodapor. Jag frågade om lov och fick delge den här nedan:

En kort liten write-up om en incident i en av våra kunders miljöer som jag hoppas kan vecka diskussion och/eller eftertanke.

Det hela börjar med att en av våra utvecklare reagerar på ett Javaskriptfel i sin utvecklingsmiljö i en äldre webbläsare som vi väldigt sällan testar. Skriptfelet ser ut att ha att göra något med att hämta GPS-positionering att göra. WTF. Vi har väl inte någon sådan funktion i vår kodbas?

Efter lite letande kommer vi fram till att koden dessutom ligger i en <script>-tag, i en SVG fil och är inte i närheten av att likna något av koden vi skriver. Kryptiska identifierare, koden ser ut att försöka injicera sig själv in i andra dokument. Oj. Den koden ligger i produktion också. Gulp. Något är väldigt skumt.

Har vi blivit utsatta för en attack? Snabbt konstaterar vi att SVG filen i fråga har koden i sig incheckad i vårt repo sedan en tid tillbaka. Hur i h…? Någon minut senare kan vi konstatera att en utvecklare har checkat in filen med scriptet i. Snabbt söka igenom alla SVG filer med <script>-taggar. Skönt, det var bara den. Snabbt ut med ny version av systemet med fixad SVG-fil.

Hur fick vi in den koden i en av våra SVG-filer? Jag söker på nätet och hittar en issue på Github som klagar på att verktyget SVGOMG (online verktyg för optimering av SVG filer) smittar ner SVG med liknande kod som den vi har sett. SVGOMG används mycket riktigt av utvecklaren. Issuen är dock stängd med en kommentar om att problemet ligger i ExpressVPN.

Jag frågar utvecklaren om han har ExpressVPN installerat, det har han. Det verkar alltså som att VPN tjänsten ExpressVPNs Chrome-extension patchar DOMen med Javascriptkod som injicerar sig själv. Eftersom SVGOMG jobbar helt i browsern med att optimera SVG så injiceras även koden i det optimerade resultatet.

Jag kan inte enkelt avgöra om ExpressVPNs beteende är ondskefullt eller om det är en defekt i deras mjukvara. För mig är det här verkligen en ögonöppnare över hur relativt lätt det går att smyga in obetrodd kod i någon annans produktionsmiljö via något så oskyldigt som lite grafik.

Jag bifogar länken till koden som i mångt och mycket liknar koden som dök upp i vår produktionsmiljö.

Analys av krypterad datatrafik

Analys av krypterad datatrafik

I takt med att allt mer datatrafik på våra nätverk blir krypterad så ställs större krav på möjlighet att inspektera den krypterade nätverkstrafiken antingen via TLS-inspektion (TLSI) eller på ändpunkterna. Men det går fortfarande att utläsa en hel del från att granska krypterad nätverkstrafik.

Google uppger att 93% av all inkommande E-post är krypterad med STARTTLS för att ge en siffra på hur mycket som är krypterad E-post. Hittar tyvärr ingen statistik hur förhållandet mellan https och http ser ut.

👉Stöd mitt bloggande via Patreon!

När det gäller analys av krypterad datatrafik så finns det flertalet saker man kan titta på, främst följande punkter:

Protokollinformation – Varje krypterat protokoll har som oftast någon form av handskakning som avslöjar information om både klient och server. Det kan röra sig om vilka algoritmer som supportas eller publika nycklar.

Om du inte vet vilket protokoll det rör sig om kan du även titta på sekvenser som förekommer i den session du kollar på och sedan jämföra den med andra (om du har tillgång till andra).

Informationsmängd – Hur mycket datatrafik skickas och åt vilket håll skickas detta. Kan det röra sig om en större filöverföring, och hur stor är dessa filer? Kan det röra sig om överföring av tangentbordsinmatningar, tal eller skärmuppdateringar? Entropi kan också avslöja information om innehållet.

Tidpunkt – Kommunicerar detta krypterade protokoll enbart vissa tider eller veckodagar. Eller är det vid speciella händelser som inträffar som data skickas.

Ändpunkter – Vem kommunicerar med vem? Vilka är källorna och vilka är destinationerna. Om det är en publik VPN-tjänst så kanske det räcker med enkel OSINT för att identifiera vilken typ av VPN-tjänst det är. Det kan även vara så att DNS har nyttjats för att göra en uppslagning innan sessionen etableras.

Omförhandlingar – Sker det någon form av byte av nycklar eller liknande efter en viss tidpunkt eller informationsmängd? Hur långa är sessionerna?

TCP/UDP och portnummer – Har ett nytt portnummer slumpats fram eller är det en välkänd port med tillhörande protokoll, används TCP eller UDP.

Fel(injektioner) – Hur reagerar anslutningen om olika typer av fel introduceras. Passiva eller aktiva där data skickas direkt till ändpunkterna eller om paket tappas.

Övrig kommunikation – Går det kommunikation till och från enheten som kan avslöja information om vilken typ av krypterad anslutning som förekommer. Det kanske är så att vissa anrop går över http och vissa över https. Då kan exempelvis en User-Agent http-header avslöja något om källan.

Antalet paket och paketstorlekar kan också vara relevant att titta på.

Verktyg för analys av krypterad kommunikation

Det viktiga här är att poängtera att det inte finns ett verktyg som löser alla frågor som jag listat ovan. Oftast får du kombinera flertalet verktyg för att ta reda på svaret. Men följande produkter/verktyg hjälper dig en lång väg på traven:

Zeek (bro) – Har ett stort ekosystem samt inbyggt stöd för flertalet intressanta analyser. Kan exempelvis kontrollera revokering av certifikat, algoritmer och mycket mer.

Wireshark/tshark – Förstår flertalet protokoll och underlättar analyser av specifik metadata. Men tyvärr så fort ett standardprotokoll går på en avvikande port så blir det problem för Wireshark. Men detta är något som bl.a. Network Miners Port Independent Protocol Identification (PIPI) fixar.

Tcpdump – Snabbt verktyg och gör mycket av grovjobbet. Gör att du enklare kan göra en första filtrering på källa/destination eller port.

Viktigt också och nämna följande verktyg:

  • HASSH – Gör fingerprints på ssh-klienter och servrar
  • JA3/JA3S och JA3ER – Gör fingerprints på SSL/TLS klienter och servrar. Och JA3ER är en databas för dessa fingeravtryck
  • Argus – För att identifiera långa sessioner etc
  • packetStrider – Analyserar SSH-trafik för att dra slutsatser

Tips på fler verktyg mottages gärna, kommentera gärna nedan.

NSA varnar för TLS-inspektion

NSA

Amerikanska säkerhetsmyndigheten NSA går nu ut och varnar för  Transport Layer Security Inspection (TLSI). Anledningen till att NSA nu varnar för TLSI är för att metoden att granska nätverkstrafik som går in och ut ur organisationer blir allt vanligare samt att denna metod även medför ett antal olika säkerhetsrisker.

Några anledningar till att TLSI blir allt vanligare är för att kontrollera att nätverkstrafiken inte innehåller någon form av skadlig kod eller att klienter kommunicerar med skadliga webbplatser eller Command and Control-servrar (C&C). Denna form av inspektion kan också förekomma i enheter såsom Deep Packet Inspection (DPI) eller NIDS/IDS, Network Intrusion Detection Software.

Exempel på hur det kan se ut med och utan TLS-inspektion:

Bild från NSA

Problemen som NSA pekar på

Men vilka problem är det då som kan uppstå med denna set-up? Jo det finns flertalet problem som jag tänkte gå igenom här:

Validering av certifikat – Tidigare undersökningar visar på att certifikatvalideringen i TLSI-enheter inte varit 100%-ig och detta ökar risken för bl.a. man-i-mitten attacker.

Algoritmer och SSL/TLS-versioner – Precis som förra punkten så kan brister i SSL/TLS-handskakningen eller val av algoritmer påverka säkerheten såsom nedgraderingsattacker.

Tillgången till klartext – Det finns en punkt i organisationen där någon kan läsa och modifiera klartexttrafik. Detta är ett problem ur säkerhetssynpunkt men även integritet. Ett intrång kan även leda till att klartexttrafik kan läsas.

Insiderhotet – En person som har tillgång till trafiken kan läsa ut lösenord. Se till att ha en särskild granskningsroll som kan se vad TLSI-administratörerna gör för något.

Observera också att en TLSI kan användas både för utgående trafik från klienter men även inkommande (reverse proxy) för exempelvis webbsajter. Värt att nämna här är även den sårbarhet i F5:s produkter som Christoffer Jerkeby hittade. Vill du själv testa TLSI så kan jag rekommendera Erik Hjelmviks PolarProxy.

En annan sak som NSA lyfter i rapporten är även att du bör undvika att bädda in flertalet produkter där din klartext flödar. Försök att hålla ner komplexiteten för riskerna ökar med antalet produkter samt så försvåras felsökning. Certifikatspinning kan också bli ett problem samt så påpekas att HTTP Strict Transport Security (HSTS) inkluderar stöd för att binda en TLS-session(?).

Rapporten från NSA kan du hitta i sin helhet här:

NSA tls rapport
MANAGING RISK FROM TRANSPORT LAYER SECURITY INSPECTION 

Källa: NSA

Så spionerade Saudiarabien med hjälp av Twitter

Twitters huvudkontor i San Francisco

Dokument från amerikanska justitiedepartementet visar på hur flertalet insiders tagit jobb hos företag Twitter för att spionera på dissidenter via plattformen.

Information om kritiska konton såsom E-postadress och telefonnummer har troligtvis stulits och skickats vidare till kungadömet i Saudiarabien.

De två personerna Mr. Alzabarah och Mr. Abouammo har nu efterlysts av FBI och finns nu med på deras lista med följande förklaring:

Ali Hamad A Alzabarah is wanted for failing to register as an agent of a foreign government as required by United States law.  In 2015, Alzabarah allegedly took part in a scheme to steal proprietary and confidential user data from a U.S. company, Twitter, for the benefit of the Kingdom of Saudi Arabia. 

The stolen data included email addresses, telephone numbers and internet protocol addresses of Saudi dissidents and critics of the Saudi government, among others.  A federal arrest warrant was issued for Alzabarah in the United States District Court, Northern District of California, on November 5, 2019, after he was charged with acting as an unregistered agent of a foreign government.

Den person som först approcherade och lyckades rekrytera dessa två Twitter-anställda som agenter jobbade med en täckmantel under organisationen MiSK Foundation.

Information om cirka 6000 konton har läckt från Twitter uppger en källa till New York Times. Detta inträffade under 2015 och personerna fick efter ett tag lämna Twitter.

Det modus operandi som Saudiarabien följt här är eg ”by the book” och inget som är speciellt konstigt. De lyckades rekrytera två insiders som hade behörigheter att göra sökningar i Twitters databaser.

Intel åtgärdar 77 säkerhetsbrister

Intel gick nyligen ut med en mängd olika säkerhetsrelaterade uppdateringar som totalt berör 77 identifierade säkerhetsbrister. Dock är inte alla helt enkla att patcha och har gjort att flertalet operativsystem såsom FreeBSD släppt patchar för microcode. Minst en av buggarna är liknande Spectre och Meltdown som släpptes i Januari 2018.

Kör du Linux kan du se vilken version du har genom att köra något av följande kommandon:

Uppdateringar ska sedan installeras per automatik via paketet intel-microcode vid apt update.

Den sårbarhet med högst CVSS-score är CVE-2019-0169 med ett score på 9,6 som är kritiskt. Just den buggen är en remote heap-overflow som återfinnes i Intel CSME.

Hela listan med buggar som Intel åtgärdar:

Advisory IDTitleInternally FoundCVSS Range
INTEL-SA-00241Intel® CSME, Intel® SPS, Intel® TXE, Intel® AMT, Intel® PTT and Intel® DAL Advisory22 of 242.3 – 9.6
INTEL-SA-00313Intel® BMC Advisory12 of 123.7 – 9.0
INTEL-SA-00255Intel® Ethernet 700 Series Controllers Advisory10 of 115.6 – 8.8
INTEL-SA-00242Intel® Graphics Driver for Windows* Advisory5 of 84.0 – 8.8
INTEL-SA-00287Intel® WIFI Drivers and Intel® PROSet/Wireless WiFi Software extension DLL Advisory3 of 38.2 – 8.7
INTEL-SA-00288Intel® PROSet/Wireless WiFi Software Security Advisory3 of 35.3 – 8.5
INTEL-SA-00220Intel® SGX and TXT Advisory2 of 28.2 – 8.2
INTEL-SA-00240Intel® CPU Security Advisory2 of 27.5 – 8.2
INTEL-SA-00293Intel® SGX Advisory1 of 27.0 – 7.8
INTEL-SA-00280IPU UEFI Advisory1 of 27.5 – 7.5
INTEL-SA-00309Nuvoton* CIR Driver for Windows® 8 for Intel® NUC Advisory0 of 16.7
INTEL-SA-00210Intel® Processor Machine Check Error Advisory1 of 16.5
INTEL-SA-00260Intel® Processor Graphics Update Advisory1 of 16.5
INTEL-SA-00270TSX Transaction Asynchronous Abort Advisory0 of 16.5
INTEL-SA-00164Intel® TXT Advisory1 of 16.0
INTEL-SA-00219Intel® SGX with Intel® Processor Graphics Update Advisory1 of 16.0
INTEL-SA-00254Intel® SMM Advisory1 of 16.0
INTEL-SA-00271Intel® Xeon® Scalable Processors Voltage Setting Modulation Advisory1 of 15.8

Se denna sida för mer information: https://blogs.intel.com/technology/2019/11/ipas-november-2019-intel-platform-update-ipu/

Av de 77 säkerhetsbristerna som åtgärdats så har 10 st identifierats av externa personer som är följande:

  • Daniel Moghimi och Berk Sunar från Worcester Polytechnic Institute
  • Thomas Eisenbarth från University of Lubeck
  • Nadia Heninger från University of California
  • Leon Nilges från n0xius
  • Jesse Michael från Eclypsium

Test av Holm Security

Sårbarhetsanalyser har över 20 år varit en hörnsten i ett bra IT-säkerhetsarbete. Allt fler organisationer stärker upp sin säkerhet. Då landskapet ändras snabbt växer behovet av kontinuerliga skanningar. Historiskt har många inte gjort skanningar alls, eller bara enstaka skanningar internt eller externt.

Marknaden har historiskt dominerats av ett par aktörer från USA såsom Nessus från Tenable, men nu finns en alternativ produkt från svenska Holm Security.

Genom att göra kontinuerliga och automatiserade skanningar upptäcker du t.ex. löpande utdaterad mjukvara, felkonfigureringar, bristfällig kryptering och svaga lösenord. Dessutom är det ett effektivt sätt att upptäcka det man kallar blank spots, alltså delar i er IT-miljö som kan vara förbisedda.
Sårbarhetsanalyser ger dig bra kontroll på din IT-säkerhet och kombineras med fördel med mer traditionell penetrationstestning.

Skärmdump från Holm Securitys administrationsgränssnitt Security Center:

Holms backend bygger på två olika skannings-motorer som kan ses i gränssnittet ovan. En motor för webbskanningar och en för nätverksskanningar.

För den som gillar API:er och programnära gränssnitt så finns det ett REST API med exempelkod på Github här: https://github.com/holmsecurity/api-examples och dokumentation för API:et kan du hitta här.

När jag testade produkten så så körde jag tester mellan 2019-06-10 – 2019-07-06. Jag skannade en testmiljö med 37 IP-nummer och 1 st så kallad Damn Vulnerable Web Application/DVWA. Nätverksskanningen tog i snitt 13 minuter och webapplikationsskanningen 7 minuter. Rekommenderat är att köra automatiska scanningar så ofta som möjligt utan att det påverkar prestanda i applikationer eller nätverk.

Om du vill testa lokala nätverk innanför brandväggar eller liknande så finns det en Scanner Appliance (SA) som går att ladda hem som en virtuell server. Obegränsat med SA går att använda och prissättningen är satt utifrån antalet IP-adresser eller webbsajter/tjänster du vill skanna av.

Prisexempel:

Skanning av 100 IPn och 5 webbappar kostar 53 356 kr/år exkl moms.

En annan intressant produkt förutom intern och extern scanning är att du kan göra phishing-tester via E-post. Det finns ett antal standardmallar du kan använda och sedan skicka ut till organisationen och mäta statistik. Inga inviduella personer pekas därmed ut.

Skärmdump på assessments/riskanalys:

Riskanalys av användare för 250 e-postadresser kostar runt 21 000 kr/år exkl moms.

Bakom Holm Security står gänget som startade Stay Secure och som således till J2 Group år 2014. Och en annan sak de har lagt mycket krut på är onboarding-processen för nya organisationer, att det ska vara så snabbt och enkelt att komma igång.

Holm Security får 4/5 Enigmor:

Transparens: Jag sitter med i Advisory Board hos Holm Security samt äger en pytteliten andel i företaget.