Vores sårbarhedsanalyser og penetreringstest bygger på det faktum at faglig dygtighed og intuition, overgår alle automatiserede processer.
Der er i tiden en række muligheder for at få foretaget "sikkerheds-scanninger" der, ved brug af automatiserede værktøjer, generer rapporter med de sårbarheder en installation måtte have. Argumenterne for disse scanninger er ofte, at de eliminerer menneskelige fejl og giver et ensartet resultat. Disse argumenter er Vi ikke principielt uenige i, men vores holdning til disse er også, at de mangler den menneskelige intuition og dømmekraft, samt er blottet for enhver kvalitativ bedømmelse af sammenhænge, som er essentiel i en samlet vurdering at sikkerheden, og på denne måde giver et ensartet dårligt resultat, der i bedste fald blot er vildledende.
Et eksempel er rapporter, der angiver mulige sårbarheder på andre platforme end dem der reelt benyttes, og "falske positive" der fremkommer ved at teste bevidstløst og automatiseret.
I vores sårbarhedsanalyser foretages en kvalitativ vurdering af installationens sammensætning. Kunden bidrager med oplysninger om platforme, versioner og lignende
Kundens oplysninger verificeres, og med brug af en række af de mest brugte værktøjer, sammen med en hjemmeudviklet "værktøjskasse" udføres en lang række test på kundens installation.
Testen resulterer i en rapport, der efter ønske kan gennemgås med kunden, og vi vil så komme med forslag til forbedringer.
Filosofien bag sårbarhedsanalysen, er at IT-sikkerhedskonsulenten i kraft af sin uddannelse og kompetence "performer" bedre end noget enkeltstående scanningsprogram.