Krav på pentest? Vi löser det!

Alla system har sårbarheter. Ett penetrationstest, eller pentest utförs för att identifiera vilka sårbarheterna är och hur stor skada de kan orsaka. Vet man vilka sårbarheter som är mest kritiska kan man enklare prioritera resurser för att åtgärda dem. På sikt gör detta systemen säkrare och minskar risken för dataintrång.

Våra pentest utförs av professionella hackare • Hittar vilka sårbarheter som är viktigast att åtgärda

Pentest utförs för att hitta sårbarheter och motverka dataintrång

Ett tryggt val att lägga din säkerhet i våra händer

Vi har lång erfarenhet av att leverera komplexa och enkla pentest till både stora och krävande organisationer, men också till lite mindre företag. Vad som skiljer oss mot andra är att vi inte tummar på kvalitén. Lägger du din säkerhet i våra händer så kan du räkna med att få ett resultat som återspeglar en riktig cyberattack. För det är oftast penetrationstestarens egna kunskaper som styr hur bra utfallet blir. Därför utför vi dels våra egna pentest men samtidigt använder oss av värdsledande externa aktörer (oftast vid större pentest).

Vi erbjuder pentester med tre olika upplägg. Black-, grey-, och whitebox. Skillnaden är främst vilken förutsättning som penetrationstesten får vid attacken – med andra ord mängden information som vi blir tilldelade om systemet och dess egenskaper.

Efter ett genomfört pentest skickas resultaten i en rapport till en utsedd person, vanligtvis organisationens IT- och nätverkssystemansvariga, så att de kan jobba vidare med att åtgärda bristerna som hittats.

Vill du veta mer om våra pentest?

Hör av dig till oss så hjälper vi dig att komma igång med ditt pentest.

Så här tycker våra kunder

Secify stöttar oss i dataskyddsfrågor och i vårt arbete med Data Privacy. På ett förtroendefullt sätt och med bred kompetens har Secify bidragit till vår leverans.

Robert Ekvall, IT Security & Company Integration Lead

Upplägget för våra penetrationstester/pentester

Oavsett vilken typ av metod eller utgångspunkt som du väljer är syftet med ett penetrationstest att göra nätverket, systemet eller applikationen säkrare. Hur era system är uppbyggda och hur mycket tid ni kan lägga på ett pentest är avgörande. Har man till exempel tio system som ligger bakom en brandvägg där bara ett av dem behöver skyddas kan det vara värt att fokusera på en grey eller whitebox och stärka skyddet för just det systemet.

Inget företags IT-miljö är det andra likt. Det är därför viktigt att vi tillsammans med dig går igenom förutsättningar och metoder för att komma fram till den bästa lösningen. Här är de olika utgångspunkterna och skillnaderna mellan dem.

Penetrationstest pågår på datorskärm

Black Box

Vi känner inte till något om systemet eller den miljö som ska angripas och saknar helt behörighet. Förutsättningarna är exakt samma som för en utomstående angripare.

Fokus läggs främst på att angripa det yttre skyddet, men även vidare in i systemen som ligger bakom. Black box är tidskrävande men ger också en tydlig övergripande bild över hur väl systemet är skyddat vid ett intrångsförsök.

Grey Box

Ett mellanting mellan Black box- och White box där vi har viss intern information om hur systemet fungerar. Grey box simulerar en angripare som redan har penetrerat det yttre skyddet och har någon form av intern åtkomst till nätverket.

Denna utgångspunkt är mest tidseffektiv och hoppar över det initiala intrångsförsöket för att fokusera på att försöka upptäcka system och hitta sårbarheter i de interna informationskänsliga systemen.

White Box

Vi känner till allt om miljön och har även tillgång till denna. I detta fall så är testaren även en behörig användare i systemet.

Alternativet ger möjlighet att identifiera potentiella svagheter från insidan. Både interna och externa system kan analyseras och utvärderas bakom kulisserna. Den här typen av pentest är väldigt omfattande men kan med mer precision hitta felkonfigurationer, dålig programvara och säkerhetsbrister.

Utförande av pentest på tangentbord

Genomförande och process av pentester

Processen som används för att genomföra pentestet ser olika ut beroende på person som utför det samt pentestets förutsättningar. Ofta handlar det om fyra till sex steg som ibland repeteras likt ett kretslopp beroende på penetrationstestets omfattning. Det här är en exempelprocess för ett Black Box pentest.

  1. Insamling av information kring målet
    Utöver huvudmålet, finns sekundära mål med lägre säkerhet? Vilka bakomliggande system kan målet förväntas ha. Finns öppen information om målet tillgänglig, vilka IP-adresser kan vara aktuella för en attack. Vilka går att få tag på?
  2. Skanning av mål:
    Vilka öppna portar har målet och hur ser sårbarheterna ut vid en sårbarhetsskanning?
  3. Attack:
    Utnyttja sårbarheterna och försöka få åtkomst till system genom till exempel öppna portar, inloggningsfält, sårbarheter i system och så vidare.
  4. Avslut:
    Avsluta attacken, sammanställa bevis, upprätta rapport över sårbarheter som systemägaren får.

Pentestare använder oftast ett sårbarhetsskanningsverktyg för att först skanna igenom målet efter potentiella sårbarheter i systemet. Varje sårbarhet som upptäcks testas därefter av pentestaren för att undersöka om den kan användas för att penetrera systemet. Penetrationstestaren försöker med andra ord att använda sårbarheten för att penetrera systemet. Det är också skillnaden mellan en sårbarhetsskanning och ett penetrationstest.

Läs mer information om pentest

Guide: Allt du behöver veta om pentest

Whitepaper: Innan du köper ett pentest

Video: Pentest frågor och svar

Hör av dig!

Verkar det här intressant för ditt företag kan du antingen skicka ett meddelande med kontaktfunktionen, eller helt enkelt lyfta på luren och ringa.

Tel: 020 – 66 99 00
Besöksadress: Östra Storgatan 67, Jönköping