Krav på pentest? Vi löser det!
Alla system har sårbarheter. Sårbarheter som kan innebära en ökad risk för dataintrång om de lämnas oberörda. Ett penetrationstest, eller pentest hittar sårbarheterna och identifierar vilka som är mest kritiska. Har man en bild över systemets sårbarheter kan man enklare prioritera resurser för att åtgärda dem.
Våra penetrationstest utförs av professionella hackare • Hittar vilka sårbarheter som är viktigast att åtgärda
Det bästa stödet inom pentest
Förutom det faktum att alla system har sårbarheter som man vill identifiera och bygga bort, kan bakgrunden till behovet av ett pentest komma ifrån yttre krav från investerare, kunder, leverantörer eller som ett krav vid exempelvis certifieringar. Oavsett varifrån behovet kommer så förstår vi kravet och kan leverera det bästa stödet vid ditt penetrationstest.
Vi har en gedigen erfarenhet av olika typer av penetrationstest till företag och organisationer där uppdragen spänner från tester i enklare miljöer till väldigt komplexa. Vi genomför våra uppdrag med mycket erfarna specialister enligt en väl beprövad metodik och olika branschpraxis. Att genomföra pentester är ett hantverk och våra testare tar ett stort personligt ansvar att alltid leverera med högsta kvalitet.
I vårt standardpaket ingår återtester som en del av vårt erbjudande. Det gör vi för att se till så att de identifierade sårbarheterna verkligen åtgärdas. Vår erfarenhet visar en tydlig koppling mellan åtgärdade sårbarheter i våra kunders miljöer och genomförandet av återtester.
Vi erbjuder tre olika typer av upplägg för pentester, Black-, Grey-, och White Box. Valet av test beror på vad man vill testa och hur mycket information den som testar ska ha tillgång till innan penetrationstestet genomförs. Det är inte ovanligt att man genomför en kombination av Black- och Greyboxtester för att täcka organisationens behov – att man kör blackbox på helheten och greybox på till exempel en applikation.
Efter att penetrationstestet är klart överlämnar vi en rapport med resultat och rekommendationer som vi går igenom tillsammans med dig.
Vill du veta mer om våra pentest?
Hör av dig till oss så hjälper vi dig att komma igång med ditt pentest.
Så här tycker våra kunder
Secify stöttar oss i dataskyddsfrågor och i vårt arbete med Data Privacy. På ett förtroendefullt sätt och med bred kompetens har Secify bidragit till vår leverans.
Robert Ekvall, IT Security & Company Integration Lead
Upplägg för våra pentester
Inget företags IT-miljö är det andra likt. Det är därför viktigt att vi tillsammans med dig går igenom förutsättningar och metoder för att komma fram till den bästa lösningen. Vi erbjuder tre olika typer av upplägg för pentester, Black-, Grey-, och White Box.
Black Box
Vi känner inte till något om systemet eller den miljö som ska angripas och saknar helt behörighet. Förutsättningarna är samma som för en utomstående angripare.
Fokus läggs främst på att angripa det yttre skyddet, men även vidare in i systemen som ligger bakom. Black box är tidskrävande men ger också en tydlig övergripande bild över hur väl systemet är skyddat vid ett eventuellt intrångsförsök.
Exempel: Angriparen attackerar en webb, eller IP-adress för att tillskansa sig information eller orsaka skada.
Grey Box
Detta är ett mellanting mellan Black Box och White Box där vi har viss information om hur systemet fungerar. Grey Box simulerar en angripare som redan har penetrerat det yttre skyddet och har någon form av intern åtkomst till nätverket. Detta penetrationstest är mer tidseffektiv då man hoppar över det initiala intrångsförsöket för att i stället fokusera på att upptäcka fel i en enskild applikation eller i hitta sårbarheter i interna informationskänsliga system som man ges en möjlig åtkomst till.
Exempel: Angriparen har kommit över ett användarkonto och försöker med detta eskalera sina behörigheter i systemet.
White Box
Vi har information om hela miljön och har även åtkomst till den. I detta fall så är testaren en behörig användare i systemet som ska höja (eskalera) sina behörigheter och därigenom tillskansa sig information. Detta penetrationstest ger möjlighet att identifiera potentiella svagheter sett från insidan av miljön. Whitebox penetrationstest är ofta väldigt tidskrävande. Både interna och externa system kan analyseras och utvärderas bakom kulisserna.
Exempel: Angriparen har full åtkomst till all information och försöker eskalera sina behörigheter med målet att skaffa sig administratörsrättigheter.
Genomförande och process av pentester
Metodiken som används för att genomföra penetrationstest ser lite olika ut beroende på omfattning och yttre förutsättningar. Ofta handlar det om fyra till sex steg som kan repeteras likt ett kretslopp. Nedan beskrivs ett exempelscenario för ett Black Box pentest.
- Insamling av information kring målet
Utöver huvudmålet, finns det sekundära mål med lägre säkerhet? Vilka bakomliggande system kan målet förväntas ha. Finns det öppen information om målet, vilka IP-adresser kan vara aktuella för en attack och vilka går att få tag på? - Skanning av mål
Vilka öppna portar har målet och hur ser sårbarheterna ut vid en sårbarhetsskanning? - Attack:
Utnyttja sårbarheterna och försök få åtkomst till system genom till exempel öppna portar, inloggningsfält, sårbarheter i system och så vidare. - Avslut:
Avsluta attacken, sammanställa bevis, upprätta rapport över sårbarheter samt rekommendationer
Som vi beskrivit ovan använder pentestare ofta ett sårbarhetsskanningsverktyg för att skanna igenom målet efter potentiella sårbarheter i systemet. Varje sårbarhet som upptäcks testas därefter för att undersöka om den kan användas för att penetrera systemet. Att validera att det går att utnyttja den möjliga sårbarheten i praktiken är den stora skillnaden mellan en sårbarhetsskanning och ett penetrationstest.
Frågor och svar
Här finns svar på de vanligaste frågorna om penetrationstest. Har du en fråga som inte finns med? Använd kontaktformuläret lite längre ner på sidan.
Efter ett avslutat penetrationstest så får du en rapport som vi går igenom tillsammans med dig. Du får också ett bevis i form av ett certifikat efter ett genomfört test.
Under 2021 identifierades 55 nya sårbarheter varje dag. Det innebär att ett system aldrig kan vara helt fritt ifrån sårbarheter. Med det sagt blir man mer skyddad om man genomför åtgärderna efter ett penetrationstest. Har man ett bra grundskydd och gör regelbundna penetrationstester och åtgärder så kommer angripare vanligtvis inte att försöka ta sig in när det finns enklare mål som inte penetrationstestar eller gör åtgärderna.
Det vanligaste är att man penetrationstestar ett system som är kritiskt för verksamheten, men ett penetrationstest kan göras på i princip allt ifrån ny produkter till anslutningar mellan företag. Pentestets syfte är att hitta och testa säkerhetshål i syfte att öka säkerheten, och säkerheten kan höjas på många olika typer av mål.
En red team och blue team övning genomförs för att simulera en cyberattack. Det blå teamet jobbar med försvar- och skyddsåtgärder medan det röda teamet är det team som genomför attacken. Read team och blue teamövningar genomförs för att testa förmågan att försvara och förbereda sig mot yttre angrepp.
I ett Blackboxtest känner man inte till något om systemet eller den miljö som ska angripas och saknar helt behörighet. Vid ett Greyboxtest har man tillgång till ett användarkonto och viss information om hur systemet fungerar.
Blackboxstestet är den vanligaste form av penetrationstest. Utgångspunkten för penetrationstestaren är densamma som för angriparen. Man saknar helt information om bakomliggande nätverksstruktur och system.
Innan man köper ett pentest är det bra att kartlägga sina system. Det gör man för att identifiera vilka kritiska informationstillgångar och system som man har och var någonstans i nätverket de finns. När man har den bilden framför sig vet man vad som är mest skyddsvärt och vilket system eller del i nätverket som ska testas. När man sedan väljer en leverantör ska man alltid säkerställa att penetrationstestarna är certifierade testare som följer de metoder och ramverk som gäller för marknaden som tex OWASP och OSSTMM. Resultatet av penetrationstestet blir aldrig bättre än än penetrationstestaren själv.
Hur ofta man pentestatestar beror helt på vad man testar och hur ofta system och miljöer uppdateras. En tumregel är att testa minst en gång per år i de fall man inte gör större releaser eller förändringar på det som ska testas.
Efter pentestet får man en rapport som visar vilka sårbarheterna är och hur man bäst åtgärdar dem. Efter att säkerhetsteknikern eller systemteknikern har anayserat rapporten prioriterar man därefter och ågärdar de som är relevanta för att täppa igen säkerhethålen
En penetrationstestare är en person som med egen kunskap och erfarenhet testar system i syfte att avslöja säkerhetsbrister. Man brukar kalla penetrationstestaren för en vithatthackare eller en etisk hackare som till skillnad ifrån svarthatthackaren hackar system i ett gott syfte.
Det går absolut att utföra ett penetrationstest själv, på sin egen miljö. Men för att pentestet ska vara relevant bör det utföras av en person som har lång erfarenhet och/eller stor kunskap om metodik, sårbarheter och dataintrång. Annars är risken stor att åtgärderna efter penetrationtestet görs på fel saker. Ska man penetrationstesta sina system själv så rekommenderar vi att du köper en sårbarhetsskanning istället.
Ja, det finns risker. Äldre system som saknar uppdateringar eller som ofta kraschar vid belastning löper ofta större risk att också krascha vid ett penetrationstest. Vad man bör komma ihåg är att den kraschen alltid är ett tecken på en sårbarhet i systemet, som penetrationstestet kan hitta och som du i efterhand kan åtgärda.
Förutom det faktum att alla system har sårbarheter som man vill identifiera och bygga bort, kan bakgrunden till behovet av ett pentest komma ifrån yttre krav från investerare, kunder, leverantörer eller som ett krav vid exempelvis certifieringar.
