Penetrationstest

Krav på pentest? Vi löser det!

Alla system har sårbarheter. Sårbarheter som kan innebära en ökad risk för dataintrång om de lämnas oberörda. Ett penetrationstest, eller pentest hittar sårbarheterna och identifierar vilka som är mest kritiska. Har man en bild över systemets sårbarheter kan man enklare prioritera resurser för att åtgärda dem.

Våra penetrationstest utförs av professionella hackare • Hittar vilka sårbarheter som är viktigast att åtgärda

Pentest utförs för att hitta sårbarheter och motverka dataintrång

Det bästa stödet inom pentest

Förutom det faktum att alla system har sårbarheter som man vill identifiera och bygga bort, kan bakgrunden till behovet av ett pentest komma ifrån yttre krav från investerare, kunder, leverantörer eller som ett krav vid exempelvis certifieringar. Oavsett varifrån behovet kommer så förstår vi kravet och kan leverera det bästa stödet vid ditt penetrationstest.

Vi har en gedigen erfarenhet av olika typer av penetrationstest till företag och organisationer där uppdragen spänner från tester i enklare miljöer till väldigt komplexa. Vi genomför våra uppdrag med mycket erfarna specialister enligt en väl beprövad metodik och olika branschpraxis. Att genomföra pentester är ett hantverk och våra testare tar ett stort personligt ansvar att alltid leverera med högsta kvalitet.

I vårt standardpaket ingår återtester som en del av vårt erbjudande. Det gör vi för att se till så att de identifierade sårbarheterna verkligen åtgärdas. Efter att penetrationstestet är klart överlämnar vi en rapport med resultat och rekommendationer som vi går igenom tillsammans med dig.

Vill du veta mer om våra pentest?

Hör av dig till oss så hjälper vi dig att komma igång med ditt pentest.

Kontakta oss

Så här tycker våra kunder

Secify stöttar oss i dataskyddsfrågor och i vårt arbete med Data Privacy. På ett förtroendefullt sätt och med bred kompetens har Secify bidragit till vår leverans.

Robert Ekvall, IT Security & Company Integration Lead

Upplägg för våra penetrationstest

Inget företags IT-miljö är det andra likt. Det är därför viktigt att vi går igenom förutsättningar och metoder tillsammans med dig för att komma fram till en bra lösning. Gemensamt för alla våra penetrationstest är att vi följer industristandarder och metoder från OSSTMM, OWISAM, OWASP, OASAM, ISSAF, NIST, ISACA, SANS, Mitre Att§ck. Vi utför penetrationstest på webbapplikationer, mobilapplikationer, infrastruktur och API:er men har även möjlighet att skräddarsy ett penetrationstest utifrån dina behov.

Pentest webbapplikation

En webbapplikation som exempelvis en e-handelsplats, ett bokningssystem eller en kund- och leverantörsportal lagrar och hanterar ofta känslig information. Genom att penetrationstesta applikationen kan vi hitta sårbarheter som i många fall kan utnyttjas för att antingen komma åt känslig information eller för att få administratörsåtkomst till bakomliggande system.

Fördelar med att penetrationstesta mobilapplikationer

Identifierar sätt att manipulera systemet
Hittar säkerhetsproblem kopplade till cookies
Hittar felkonfigurerade säkerhetsinställningar
Testar skydd mot injektionsattacker

Pentest mobilapplikation

Sårbarheter i mobilappar kan potentiellt skada både företag och mobilanvändare. Cyberkriminella använder mobilapplikationens sårbarheter för att antingen få åtkomst till företagets informationstillgångar eller som ett verktyg för att sprida skadlig kod till användaren. Vårt mobilapplikationstest ger värdefulla insikter i applikationers sårbarheter och problem. Dessa insikter används främst för att täppa igen säkerhetshål och på så sätt skydda klientens och företagets information.

Fördelar med att penetrationstesta mobilapplikationer

Hittar felaktig lagring av känslig information
Hittar felkonfigurerade säkerhetsinställningar
Identifierar felaktig eller ej krypterad kommunikation
Identifierar problem med autentisering
Testar skydd mot injektionsattacker

Pentest infrastruktur (nätverk)

Ett pentest som görs på infrastrukturen kan avslöja vilka delar av nätverket som är sårbara och som kan användas som passage för att komma åt ett bakomliggande system. Här kan vi testa bland annat SQL servrar, VPN servrar och anslutningar, mejl-servrar, brandväggar, FTP och fil-servrar, sammankopplade tredjepartsystem och andra ingångar in till organisationens interna nätverk och system. Utöver det kan vi också testa IT-systemets operativsystem och undersöka samt ge råd för att konfigurera det på ett säkert sätt (härdning).

Fördelar med att penetrationstesta infrastruktur

Hittar och testar CVE sårbarheter
Identifierar brister i brandväggskonfigurationer
Identifierar vad en angripare kan göra om den befinner sig på det interna nätverket eller kommer in i nätverket via en VPN-koppling

Pentest API

Ett API (application programming interface) används för att låta applikationer kommunicera med varandra. Exempel på sådana kopplingar är mellan företagets webbsida och CRM system, analysverktyg, betalningssystem eller externt formulär. Vårt API-pentest testar om API:et är har sårbarheter som kan utnyttjas av en angripare. Genom att stärka API:ets ändpunkter kan man till exempel förhindra att kundinformation exponeras till angriparen.

Fördelar med att penetrationstesta API kopplingar

Identifierar om API kopplingen exponerar känsliga data
Identifierar felaktiga säkerhetsinställningar
Identifierar felaktiga behörighetsstrukturer
Testar skydd mot injektionsattacker

Upplägg för våra pentester

När du bestämt vilket mål som ska penetrationstestas är nästa steg att bestämma på vilket sätt testet ska utföras. I vår tjänst utgår vi ifrån black-, grey-, och white box penetrationstest.

Black Box

Vi känner inte till något om systemet eller den miljö som ska angripas och saknar helt behörighet. Förutsättningarna är samma som för en utomstående angripare.
Fokus läggs främst på att angripa det yttre skyddet, men även vidare in i systemen som ligger bakom. Black box är tidskrävande men ger också en tydlig övergripande bild över hur väl systemet är skyddat vid ett eventuellt intrångsförsök.

Exempel: Angriparen attackerar en webb, eller IP-adress för att tillskansa sig information eller orsaka skada.

Grey Box

Detta är ett mellanting mellan Black Box och White Box där vi har viss information om hur systemet fungerar. Grey Box simulerar en angripare som redan har penetrerat det yttre skyddet och har någon form av intern åtkomst till nätverket. Detta penetrationstest är mer tidseffektiv då man hoppar över det initiala intrångsförsöket för att i stället fokusera på att upptäcka fel i en enskild applikation eller i hitta sårbarheter i interna informationskänsliga system som man ges en möjlig åtkomst till.

Exempel: Angriparen har kommit över ett användarkonto och försöker med detta eskalera sina behörigheter i systemet.

White Box

Vi får full tillgång till mjukvarans källkod och dokumentation och har även åtkomst till miljön. I och med det kan penetrationstestaren lägga kraft på att analysera systemets uppbyggnad, kodstruktur och design. Man skulle kunna säga att ett whitebox penetrationstest testar från insidan och ut till skillnad från blackbox som testar från utsidan och in. White Box penetrationstest identifierar potentiella svagheter i mjukvaran och används framförallt som ett sista steg i utveckling av appar och system för att hitta och förhindra potentiella sårbarheter som kan leda till dataläckor och intrång.

Exempel: Penetrationstestaren har full åtkomst till all information och identifierar hot och risker genom att analysera källkod och dokumentation.

Genomförande och process av pentester

Metodiken som används för att genomföra penetrationstest ser lite olika ut beroende på omfattning och yttre förutsättningar. Ofta handlar det om fyra till sex steg som kan repeteras likt ett kretslopp. Nedan beskrivs ett exempelscenario för ett Black Box pentest.

Insamling av information kring målet
Utöver huvudmålet, finns det sekundära mål med lägre säkerhet? Vilka bakomliggande system kan målet förväntas ha. Finns det öppen information om målet, vilka IP-adresser kan vara aktuella för en attack och vilka går att få tag på?
Skanning av mål
Vilka öppna portar har målet och hur ser sårbarheterna ut vid en sårbarhetsskanning?
Attack:
Utnyttja sårbarheterna och försök få åtkomst till system genom till exempel öppna portar, inloggningsfält, sårbarheter i system och så vidare.
Avslut:
Avsluta attacken, sammanställa bevis, upprätta rapport över sårbarheter samt rekommendationer

Som vi beskrivit ovan använder pentestare ofta ett sårbarhetsskanningsverktyg för att skanna igenom målet efter potentiella sårbarheter i systemet. Varje sårbarhet som upptäcks testas därefter för att undersöka om den kan användas för att penetrera systemet. Att validera att det går att utnyttja den möjliga sårbarheten i praktiken är den stora skillnaden mellan en sårbarhetsskanning och ett penetrationstest.

Frågor och svar

Här finns svar på de vanligaste frågorna om penetrationstest. Har du en fråga som inte finns med? Använd kontaktformuläret lite längre ner på sidan.

Vad får man efter penetrationstestet?Henrik Petterson2022-09-22T09:56:27+02:00

Vad får man efter penetrationstestet?

Efter ett avslutat penetrationstest så får du en rapport som vi går igenom tillsammans med dig. Du får också ett bevis i form av ett certifikat efter ett genomfört test.

Är man skyddad efter ett pentest?Henrik Petterson2022-09-22T09:56:27+02:00

Är man skyddad efter ett pentest?

Under 2021 identifierades 55 nya sårbarheter varje dag. Det innebär att ett system aldrig kan vara helt fritt ifrån sårbarheter. Med det sagt blir man mer skyddad om man genomför åtgärderna efter ett penetrationstest. Har man ett bra grundskydd och gör regelbundna penetrationstester och åtgärder så kommer angripare vanligtvis inte att försöka ta sig in när det finns enklare mål som inte penetrationstestar eller gör åtgärderna.

Vad kan man penetrationstesta?Henrik Petterson2022-09-22T09:56:27+02:00

Vad kan man penetrationstesta?

Det vanligaste är att man penetrationstestar ett system som är kritiskt för verksamheten, men ett penetrationstest kan göras på i princip allt ifrån ny produkter till anslutningar mellan företag. Pentestets syfte är att hitta och testa säkerhetshål i syfte att öka säkerheten, och säkerheten kan höjas på många olika typer av mål.

Vad är en red team och blue teamövning och varför genomför man detta?Henrik Petterson2022-09-22T09:56:28+02:00

Vad är en red team och blue teamövning och varför genomför man detta?

En red team och blue team övning genomförs för att simulera en cyberattack. Det blå teamet jobbar med försvar- och skyddsåtgärder medan det röda teamet är det team som genomför attacken. Read team och blue teamövningar genomförs för att testa förmågan att försvara och förbereda sig mot yttre angrepp.

Vad är det för skillnad på ett Blackboxtest och ett Greyboxtest?Henrik Petterson2022-09-22T09:56:28+02:00

Vad är det för skillnad på ett Blackboxtest och ett Greyboxtest?

I ett Blackboxtest känner man inte till något om systemet eller den miljö som ska angripas och saknar helt behörighet. Vid ett Greyboxtest har man tillgång till ett användarkonto och viss information om hur systemet fungerar.

Vilken är den vanligaste typen av pentest?Henrik Petterson2022-09-22T09:56:28+02:00

Vilken är den vanligaste typen av pentest?

Blackboxstestet är den vanligaste form av penetrationstest. Utgångspunkten för penetrationstestaren är densamma som för angriparen. Man saknar helt information om bakomliggande nätverksstruktur och system.

Vad ska man tänka på när man ska köpa ett pentest?Henrik Petterson2022-09-22T09:56:28+02:00

Vad ska man tänka på när man ska köpa ett pentest?

Innan man köper ett pentest är det bra att kartlägga sina system. Det gör man för att identifiera vilka kritiska informationstillgångar och system som man har och var någonstans i nätverket de finns. När man har den bilden framför sig vet man vad som är mest skyddsvärt och vilket system eller del i nätverket som ska testas. När man sedan väljer en leverantör ska man alltid säkerställa att penetrationstestarna är certifierade testare som följer de metoder och ramverk som gäller för marknaden som tex OWASP och OSSTMM. Resultatet av penetrationstestet blir aldrig bättre än än penetrationstestaren själv.

Hur ofta ska man pentesta?Henrik Petterson2022-09-22T09:56:29+02:00

Hur ofta ska man pentesta?

Hur ofta man pentestatestar beror helt på vad man testar och hur ofta system och miljöer uppdateras. En tumregel är att testa minst en gång per år i de fall man inte gör större releaser eller förändringar på det som ska testas.

Vad bör man göra efter pentestet?Henrik Petterson2022-09-22T09:56:29+02:00

Vad bör man göra efter pentestet?

Efter pentestet får man en rapport som visar vilka sårbarheterna är och hur man bäst åtgärdar dem. Efter att säkerhetsteknikern eller systemteknikern har anayserat rapporten prioriterar man därefter och ågärdar de som är relevanta för att täppa igen säkerhethålen

Vem är det som pentestar?Henrik Petterson2022-09-22T09:56:29+02:00

Vem är det som pentestar?

En penetrationstestare är en person som med egen kunskap och erfarenhet testar system i syfte att avslöja säkerhetsbrister. Man brukar kalla penetrationstestaren för en vithatthackare eller en etisk hackare som till skillnad ifrån svarthatthackaren hackar system i ett gott syfte.

Kan man göra ett pentest själv?Henrik Petterson2022-09-22T09:56:29+02:00

Kan man göra ett pentest själv?

Det går absolut att utföra ett penetrationstest själv, på sin egen miljö. Men för att pentestet ska vara relevant bör det utföras av en person som har lång erfarenhet och/eller stor kunskap om metodik, sårbarheter och dataintrång. Annars är risken stor att åtgärderna efter penetrationtestet görs på fel saker. Ska man penetrationstesta sina system själv så rekommenderar vi att du köper en sårbarhetsskanning istället.

Finns det några risker med ett pentest?Henrik Petterson2022-09-22T09:56:30+02:00

Finns det några risker med ett pentest?

Ja, det finns risker. Äldre system som saknar uppdateringar eller som ofta kraschar vid belastning löper ofta större risk att också krascha vid ett penetrationstest. Vad man bör komma ihåg är att den kraschen alltid är ett tecken på en sårbarhet i systemet, som penetrationstestet kan hitta och som du i efterhand kan åtgärda.

Varför ska man göra ett pentest?Henrik Petterson2022-09-22T09:56:30+02:00

Varför ska man göra ett pentest?

Läs mer information om penetrationstest

Guide: Allt du behöver veta om pentest

Läs mer

Whitepaper: Innan du köper ett pentest

Läs mer

Video: Pentest frågor och svar

Se alla klippen

Hör av dig!

Verkar penetrationstest vara intressant för ditt företag kan du antingen skicka ett meddelande med kontaktfunktionen, eller helt enkelt lyfta på luren och ringa.

Vi erbjuder även tjänster inom ISO 27001 och som ditt externa dataskyddsombud!

Tel: 020 – 66 99 00
Besöksadress: Östra Storgatan 67, Jönköping

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.

Cookie	Varaktighet	Beskrivning
50878ba340	session	No description
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.