Secify.com
Penetrationstest2026-05-05T12:27:43+02:00

Penetrationstest

Krav på pentest? Vi löser det!

Introduktion

Vad är ett penetrationstest

Ett pentest avslöjar ditt systems sårbarheter så att du kan åtgärda dessa och minimera risken för framtida dataintrång. Med penetrationstestets hjälp kan ni identifiera vad som är mest kritiskt och vidta prioriterade åtgärder mot dem.

Ett penetrationstest (pentest) är en simulerad cyberattack där vi testar säkerheten i era system på samma sätt som en verklig angripare skulle göra. Syftet är att identifiera sårbarheter och brister i er IT-miljö innan de kan utnyttjas av obehöriga. Resultatet ger er en tydlig bild av nuläget och vad som behöver åtgärdas för att skydda er data.

Ett pentest avslöjar ert systems sårbarheter så att du kan åtgärda dessa och minimera risken för framtida dataintrång. Med testets hjälp kan ni identifiera vad som är mest kritiskt och vidta prioriterade åtgärder mot dem.

Martin Palmqvist lutar sig mot en glasvägg

Kontakta oss

Vill du veta mer om vår tjänst och våra lösningar? Kontakta oss så hjälper vi dig.

Det bästa stödet inom pentester

När du köper ett pentest från Secify får du mer än bara ett test. Du får en komplett, no-nonsense genomlysning av din IT-miljö – utförd av erfarna etiska hackare som fokuserar på verklig risk, inte tekniskt fluff. Vårt mål är enkelt: att hjälpa dig identifiera och åtgärda de svagheter som en angripare faktiskt skulle utnyttja först.

Oavsett om behovet av ett penetrationstest kommer internt eller från externa kravställare som investerare, kunder, leverantörer eller certifieringar, har vi erfarenheten som krävs för att stötta dig. Vi är vana vid att arbeta med allt från enklare miljöer till komplexa systemlandskap.

Vi ser pentest som ett hantverk. Våra pentestare tar ett personligt ansvar för varje leverans och arbetar metodiskt för att ge dig ett resultat som är både relevant och användbart i praktiken.

Skarpa tester – på riktigt

Vi genomför fullskaliga penetrationstest där vi aktivt försöker ta oss in i dina system. Genom att kombinera avancerade verktyg med manuell expertis återskapar vi hur en verklig angripare arbetar. Resultatet blir tydligt: vilka sårbarheter som faktiskt går att exploatera – och vilken påverkan de kan ha på din verksamhet.

Tydlig och prioriterad rapport

Du får en strukturerad, lättförståelig och handlingsbar rapport. Vi presenterar tydliga risknivåer, konkreta åtgärdsförslag och klara prioriteringar, tillsammans med visualiseringar av hur en attackkedja kan se ut. Rapporten är anpassad för både tekniker och beslutsfattare.

Personlig genomgång och rådgivning

Vi lämnar dig inte med en pdf. Våra experter går igenom resultatet tillsammans med dig, förklarar vad som är kritiskt och hur ni åtgärdar det på ett kostnadseffektivt sätt. Inga onödiga system eller dyra licenser – bara konkret värde.

Kostnadsfritt återtest

När sårbarheterna är åtgärdade genomför vi ett återtest för att verifiera att allt verkligen är löst. Du får ett tydligt kvitto på att åtgärderna har haft effekt – värdefullt både internt och gentemot kunder och partners.

Modern säkerhetskompetens
Vi är ett modernt säkerhetsbolag med djup kompetens inom pentest, cyber och informationssäkerhet. Vi kombinerar teknisk expertis med affärsförståelse för att leverera tester som är relevanta, realistiska och anpassade efter din miljö.

Så hjälper Secify dig att hantera en föränderlig hotbild

Hoten är verkliga. Informationsläckor, intrång, bristande regelefterlevnad och avbrott kostar både pengar och förtroende. Många verksamheter vet att de behöver stärka sin säkerhet, men det är ofta komplext och svårt att omsätta i praktiken.

Det är där vi kommer in. På Secify fokuserar vi på det som faktiskt gör skillnad. Med vår No Nonsense Security-approach gör vi säkerhetsarbetet tydligt, konkret och genomförbart. Vi hjälper våra kunder att minska risker, stå starkare och fortsätta utvecklas – utan onödigt krångel.

Läs mer om No Nonsense Security här

Det här kan vi testa

Våra penetrationstester

Inget företags IT-miljö är det andra likt. Det är därför viktigt att vi går igenom förutsättningar och metoder tillsammans med dig för att komma fram till en bra lösning. Gemensamt för alla våra penetrationstest är att vi följer industristandarder och metoder från OSSTMM, OWISAM, OWASP, OASAM, ISSAF, NIST, ISACA, SANS, Mitre Attack. Vi utför pentest på webbapplikationer, mobilapplikationer, infrastruktur och API:er men har även möjlighet att skräddarsy ett test utifrån dina behov.

Webbapplikation

En webbapplikation som exempelvis en e-handelsplats, ett bokningssystem eller en kund- och leverantörsportal lagrar och hanterar ofta känslig information. Genom att penetrationstesta applikationen kan vi hitta sårbarheter som i många fall kan utnyttjas för att antingen komma åt känslig information eller för att få administratörsåtkomst till bakomliggande system.

Fördelar med att pentesta webbapplikationer

  • Identifierar sätt att manipulera systemet
  • Hittar säkerhetsproblem kopplade till cookies
  • Hittar felkonfigurerade säkerhetsinställningar
  • Testar skydd mot injektionsattacker

Mobilapplikation

Sårbarheter i mobilappar kan potentiellt skada både företag och mobilanvändare.

Cyberkriminella använder mobilapplikationens sårbarheter för att antingen få åtkomst till företagets informationstillgångar eller som ett verktyg för att sprida skadlig kod till användaren. Vårt mobilapplikationstest ger värdefulla insikter i applikationers sårbarheter och problem. Dessa insikter används främst för att täppa igen säkerhetshål och på så sätt skydda klientens och företagets information.

Fördelar med att penetrationstesta mobilapplikationer

  • Hittar felaktig lagring av känslig information
  • Hittar felkonfigurerade säkerhetsinställningar
  • Identifierar felaktig eller ej krypterad kommunikation
  • Identifierar problem med autentisering
  • Testar skydd mot injektionsattacker

Infrastruktur (nätverk)

Ett pentest som görs på infrastrukturen kan avslöja vilka delar av nätverket som är sårbara och som kan användas som passage för att komma åt ett bakomliggande system.

Här kan vi testa bland annat SQL servrar, VPN servrar och anslutningar, mejl-servrar, brandväggar, FTP och fil-servrar, sammankopplade tredjepartsystem och andra ingångar in till organisationens interna nätverk och system. Utöver det kan vi också testa IT-systemets operativsystem och undersöka samt ge råd för att konfigurera det på ett säkert sätt (härdning).

Fördelar med att penetrationstesta infrastruktur

  • Hittar och testar CVE sårbarheter
  • Identifierar brister i brandväggskonfigurationer
  • Identifierar vad en angripare kan göra om den befinner sig på det interna nätverket eller kommer in i nätverket via en VPN-koppling

API

Ett API (application programming interface) används för att låta applikationer kommunicera med varandra.

Exempel på sådana kopplingar är mellan företagets webbsida och CRM system, analysverktyg, betalningssystem eller externt formulär. Vårt API-pentest testar om API:et är har sårbarheter som kan utnyttjas av en angripare. Genom att stärka API:ets ändpunkter kan man till exempel förhindra att kundinformation exponeras till angriparen.

Fördelar med att penetrationstesta API kopplingar

  • Identifierar om API kopplingen exponerar känsliga data
  • Identifierar felaktiga säkerhetsinställningar och behörighetsstrukturer
  • Testar skydd mot injektionsattacker
Sveriges Ingenjörer
Svedbergs
Länsförsäkringar Jönköping
If
Coop MedMera
Infare
Tidsam
Aleris

Upplägg för våra pentester

Olika sätt att testa

När du bestämt vilket mål som ska penetrationstestas är nästa steg att bestämma på vilket sätt testet ska utföras. I vår tjänst utgår vi ifrån black-, grey-, och white box pentest.

White Box

Vi får full tillgång till mjukvarans källkod och dokumentation och har även åtkomst till miljön.

I och med det kan pentestaren lägga kraft på att analysera systemets uppbyggnad, kodstruktur och design. Man skulle kunna säga att ett whitebox penetrationstest testar från insidan och ut till skillnad från blackbox som testar från utsidan och in.

White Box penetrationstest identifierar potentiella svagheter i mjukvaran och används framförallt som ett sista steg i utveckling av appar och system för att hitta och förhindra potentiella sårbarheter som kan leda till dataläckor och intrång.

Exempel: Pentestaren har full åtkomst till all information och identifierar hot och risker genom att analysera källkod och dokumentation.

Grey Box

Detta är ett mellanting mellan Black Box och White Box där vi har viss information om hur systemet fungerar.

Grey Box simulerar en angripare som redan har penetrerat det yttre skyddet och har någon form av intern åtkomst till nätverket. Detta penetrationstest är mer tidseffektiv då man hoppar över det initiala intrångsförsöket för att i stället fokusera på att upptäcka fel i en enskild applikation eller i hitta sårbarheter i interna informationskänsliga system som man ges en möjlig åtkomst till.

Exempel: Angriparen har kommit över ett användarkonto och försöker med detta eskalera sina behörigheter i systemet.

Black Box

Vi känner inte till något om systemet eller den miljö som ska angripas och saknar helt behörighet.

Förutsättningarna är samma som för en utomstående angripare. Fokus läggs främst på att angripa det yttre skyddet, men även vidare in i systemen som ligger bakom. Black box är tidskrävande men ger också en tydlig övergripande bild över hur väl systemet är skyddat vid ett eventuellt intrångsförsök.

Exempel: Angriparen attackerar en webb, eller IP-adress för att tillskansa sig information eller orsaka skada.

Kundcase inom penetrationstest

Case: SFAB

Gabriella Löfgren och Maria Björklund arbetar på Svensk Försäkring Administration AB (SFAB) på avdelningen för IT och Verksamhetsutveckling. Gabriella arbetar som systemtekniker och har anlitat Secify för penetrationstester av externa webbsiter. Maria är projektledare och systemförvaltare och har anlitat Secify för säkerhetstester av system med webb- och API-gränssnitt.

Case: Bokinfo

Bokinfo är ett informationsföretag specialiserat på att tillhandahålla informationstjänster skräddarsydda för bokbranschen. I sitt skrå är de unika, och därför en central spelare i sin bransch, inte minst inom den växande streaming-industrin. När säkerhet blir en alltmer påtaglig faktor, säkerställer partnerskapet med Secify att man håller sig steget före potentiella hot.

Pentestintervju med Lars Olsson på Canea

Organisationer och verksamheter anpassar sig ständigt till en värld där cyberattacker tillhör vardagen. Så här arbetar Lars Olsson, produkt- och utvecklingschef på CANEA, med penetrationstester.

Så här går det till

Genomförande och process av pentester

Metodiken som används för att genomföra pentest ser lite olika ut beroende på omfattning och yttre förutsättningar. Ofta handlar det om fyra till sex steg som kan repeteras likt ett kretslopp. Nedan beskrivs ett exempelscenario för ett Black Box pentest.

  1. Insamling av information kring målet
    Utöver huvudmålet, finns det sekundära mål med lägre säkerhet? Vilka bakomliggande system kan målet förväntas ha. Finns det öppen information om målet, vilka IP-adresser kan vara aktuella för en attack och vilka går att få tag på?
  2. Skanning av mål
    Vilka öppna portar har målet och hur ser sårbarheterna ut vid en sårbarhetsskanning?
  3. Attack:
    Utnyttja sårbarheterna och försök få åtkomst till system genom till exempel öppna portar, inloggningsfält, sårbarheter i system och så vidare.
  4. Avslut:
    Avsluta attacken, sammanställa bevis, upprätta rapport över sårbarheter samt rekommendationer

Som vi beskrivit ovan använder pentestare ofta ett sårbarhetsskanningsverktyg för att skanna igenom målet efter potentiella sårbarheter i systemet. Varje sårbarhet som upptäcks testas därefter för att undersöka om den kan användas för att penetrera systemet. Att validera att det går att utnyttja den möjliga sårbarheten i praktiken är den stora skillnaden mellan en sårbarhetsskanning och ett penetrationstest.

Hör av dig!

Hör av dig till oss om du vill veta mer om våra Penetrationstest. Skicka ett meddelande med kontaktfunktionen, eller lyft på luren och ring 020-66 99 00.

Behöver du testa ytterligare så kan vi också genomföra bland annat Phishingtest. Vi kan också genomföra djupare hotbildsanalyser och OSINT-projekt.


    NYHETSBREV

    Konsulttjänster

    Säkerhetstester

    Managerade tjänster

    Intelligens

    Secify

    Secify logo vit

    Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

    Jönköping (huvudkontor)
    Östra Storgatan 28c, 553 21 Jönköping

    Stockholm
    Warfvinges väg 45, 112 51 Stockholm

    Halmstad
    Tre Hjärtans väg 2, 302 41 Halmstad

    Växjö
    Storgatan 82A, 352 27, Växjö

    Cirklar secifyprofil dekoration
    Cookiepolicy

    Orgnr: 559316-2513
    Tel: 020-66 99 00 | Kontakt

    Till toppen