Situationen
Et sikkerhedsfirma, der ikke kan dokumentere sin egen sikkerhed, har et troværdighedsproblem. Da Auroa rådgiver SMV’er og kommuner om hærdning, overvågning og e-mail-sikkerhed, var kravet til vores egen platform givet på forhånd: Den skal kunne tåle præcis det eftersyn, vi selv udfører hos kunder — og resultaterne skal kunne efterprøves af enhver, udefra, uden at spørge os om lov.
Analysen
Vi behandlede vores egen platform som en kunde: fuld gennemgang af angrebsfladen udefra og ind. Web-platformen, e-mail- og domæneopsætningen, DNS-laget og de administrative adgange blev kortlagt og prioriteret efter samme metode, vi bruger i kundeforløb — og til sidst bestilte vi en penetrationstest af platformen for at få efterprøvet arbejdet.
Løsningen
Hærdningen dækker hele kæden. Udadtil: håndhævet DMARC-politik på højeste niveau (p=reject, strict alignment, 100 %), stram SPF med hard fail, MTA-STS og TLS-rapportering, DNSSEC-signeret zone, CAA-begrænsning af certifikatudstedelse og en komplet suite af security headers med HSTS preload. Indadtil: løbende overvågning via SIEM, XDR og EDR på egen infrastruktur, least privilege på alle administrative adgange, MFA med hardware-nøgler og netværksisolation mellem segmenter (VLAN’er) — så et kompromitteret led ikke giver adgang til resten.
Resultatet
Penetrationstesten af platformen gav nul kritiske og nul høje fund. E-mail- og domæneposturen ligger på den højest mulige håndhævelse, og overvågningen kører løbende på egen infrastruktur. Og det vigtigste: I behøver ikke tage vores ord for det — efterprøv selv på securityheaders.com, MXToolbox og dnsviz.net.