Pentest – Penetrationstest

– kontrollerat dataintrång i syfte att utvärdera sårbarheter och hitta säkerhetshål

Ett penetrationstest, eller pentest görs med syftet att utvärdera sårbarheter. Testet utförs av en eller flera specialister som försöker utnyttja systemets sårbarheter för att bryta sig in. Målet är att utvärdera systemet och identifiera vilka sårbarheter som kan leda till säkerhetsrisker vid en framtida cyberattack. Vet man vilka sårbarheter som är mest kritiska kan man enklare prioritera resurser för att åtgärda dem – vilket på sikt gör systemen säkrare och minskar risken för dataintrång.

Sammanfattning

Utförs av professionella hackare
Testar systemets sårbarheter
Hittar vilka sårbarheter som är säkerhetshål

Våra pentest

Vår långa erfarenhet har lärt oss att inte tumma på kvalitén. Penetrationstestarens egna kunskaper är nästan alltid det som styr hur bra utfallet av penetrationstestet blir. Därför utför vi dels våra egna pentest och samtidigt använder oss av skickliga externa aktörer.

Kontakta oss

Vi erbjuder pentester med tre olika utgångspunkter. Black-, grey-, och whitebox. Skillnaden är främst förutsättningen för penetrationstesten – med andra ord den mängd information som vi blir tilldelade om systemet och dess egenskaper. Efter ett genomfört pentest skickas resultaten till utsedd person, vanligtvis organisationens IT- och nätverkssystemansvariga, så att de kan patcha och åtgärda bristerna samt fatta strategiska beslut.

Black box

Vi känner inte till något om systemet eller den miljö som ska angripas och saknar helt behörighet. Förutsättningarna är exakt samma som för en utomstående angripare.

Fokus läggs främst på att angripa det yttre skyddet, men även vidare in i systemen som ligger bakom. Black box är tidskrävande men ger också en tydlig övergripande bild över hur väl systemet är skyddat vid ett intrångsförsök.

Grey box

Ett mellanting mellan Black box- och White box där vi har viss intern information om hur systemet fungerar. Grey box simulerar en angripare som redan har penetrerat det yttre skyddet och har någon form av intern åtkomst till nätverket.

Denna utgångspunkt är mest tidseffektiv och hoppar över det initiala intrångsförsöket för att fokusera på att försöka upptäcka system och hitta sårbarheter i de interna informationskänsliga systemen.

White box

Vi känner till allt om miljön och har även tillgång till denna. I detta fall så är testaren även en behörig användare i systemet.

Alternativet ger möjlighet att identifiera potentiella svagheter från insidan. Både interna och externa system kan analyseras och utvärderas bakom kulisserna. Den här typen av pentest är väldigt omfattande men kan med mer precision hitta felkonfigurationer, dålig programvara och säkerhetsbrister.

Oavsett vilken typ av metod ni väljer är syftet med ett penetrationstest att göra ert nätverk, system eller applikation säkrare. Hur era system är uppbyggda och hur mycket tid ni kan lägga på ett pentest är avgörande. Har man till exempel tio system som ligger bakom en brandvägg där bara ett av dem behöver skyddas kan det vara värt att fokusera på en grey eller whitebox och stärka skyddet för just det systemet. Inget företags system är det andra likt. Det är därför viktigt att vi tillsammans med er går igenom förutsättningar och metoder för att komma fram till den bästa lösningen. Vårt mål är alltid att ge er maximalt resultat.

Pentest – genomförandet och processen

Processen som används för att genomföra pentestet ser olika ut beroende på person som utför det samt pentestets förutsättningar. Ofta handlar det om fyra till sex steg som ibland repeteras likt ett kretslopp beroende på penetrationstestets omfattning. Det här är en exempelprocess för ett Black Box pentest.

Insamling av information kring målet
Utöver huvudmålet, finns sekundära mål med lägre säkerhet? Vilka bakomliggande system kan målet förväntas ha. Finns öppen information om målet tillgänglig, vilka IP-adresser kan vara aktuella för en attack. Vilka går att få tag på?
Skanning av mål:
Vilka öppna portar har målet och hur ser sårbarheterna ut vid en sårbarhetsskanning?
Attack:
Utnyttja sårbarheterna och försöka få åtkomst till system genom till exempel öppna portar, inloggningsfält, sårbarheter i system och så vidare.
Avslut:
Avsluta attacken, sammanställa bevis, upprätta rapport över sårbarheter som systemägaren får.

Pentestare använder oftast ett sårbarhetsskanningsverktyg för att först skanna igenom målet efter potentiella sårbarheter i systemet. Varje sårbarhet som upptäcks testas därefter av pentestaren för att undersöka om den kan användas för att penetrera systemet. Penetrationstestaren försöker med andra ord att använda sårbarheten för att penetrera systemet. Det är också skillnaden mellan en sårbarhetsskanning och ett penetrationstest.

Pentest – hittar säkerhetshål

Ett pentest kan hitta helt okända sårbarheter i ditt system. Sårbarheter som normalt inte upptäcks av en sårbarhetsskanning. Men resultatet av ett penetrationstest är direkt kopplat till den som utför det. Vi vet att kreativitet och erfarenhet är två viktiga beståndsdelar som ger en tydlig skillnad på slutresultatet. Därför använder vi alltid seniora säkerhetsanalytiker för att utföra våra penetrationstester. Ett pentest kan hitta sårbarheter som bland annat:

Felkonfigurationer

En felaktigt konfigurerad server kan potentiellt öppna verksamheten mot omvärlden.

Öppna portar

Fler öppna portar och tjänster leder till fler ingångar och därmed ökade risker.

Filer med lösenord

Filer som har felaktiga rättigheter och innehåller lösenord utgör en säkerhetsrisk

Standardkonton

Användarkonton som skapas eller följer med när man installerar en programvara eller produkt

Kända sårbarheter (CVE)

Gamla och nya sårbarheter kan utnyttjas och användas för att få åtkomst till system

En sårbarhetsskanning är inte ett pentest. Enkelt förklarat hittar vårt sårbarhetsskanningsvertyg sårbarheterna varpå penetrationstestaren använder sårbarheterna för att utvärdera dess risknivå. Det kan vara svårt att se skillnaden mellan dem eftersom båda metoderna i grunden testar ett systems säkerhet. Ett pentestet rekommenderar vi bara om du tidigare har gjort en sårbarhetsskanning eller ett mindre pentest. Det beror framförallt på att det krävs en högre mognadsgrad för att ta hand om resultatet av ett penetrationstest. Frågan man bör ställa sig är om det möjligt för organisationen att hantera och åtgärda de brister som ett pentest lägger fram.

Hör av dig!

Verkar det här intressant för ditt företag kan du antingen skicka ett meddelande med kontaktfunktionen, eller helt enkelt lyfta på luren och ringa.

Tel: 020 – 66 99 00
Besöksadress: Östra Storgatan 67, Jönköping

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID		Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
LS_CSRF_TOKEN	session	This cookie is set by the provider Cloudflare. This cookie is used for the purpose of website security that is Cross-Site-Request forgery prevention. It is used to identify the trusted web traffic.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Varaktighet	Beskrivning
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.

Cookie	Varaktighet	Beskrivning
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_UA-112487526-1	1 minute	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
vuid	2 years	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
b3e783bb62		This cookie is set by the provider Zoho. This cookie is used for collecting information on user interaction with the web-campaign content. This cookie helps the website owners to promote products and events on the CRM-campaign-platform.
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp		No description
1e5a17c8ab		No description
2d719b1dd3		No description
3eb9b21c5c		No description
45342b9b1e		No description
ad2d102645		No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 7 months	No description
li_gc	2 years	No description
secify-_zldp	2 years	No description
secify-_zldt	1 day	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
zc_consent	1 year	No description
zc_cu	1 year	No description
zc_cu_exp	1 year	No description
zc_loc	session	No description
zc_show	1 year	No description
zc_tp	1 year	No description
ZCAMPAIGN_CSRF_TOKEN	session	No description

Pentest – Penetrationstest

– kontrollerat dataintrång i syfte att utvärdera sårbarheter och hitta säkerhetshål

Våra pentest

Pentest – genomförandet och processen

Pentest – hittar säkerhetshål

Hör av dig!

Mer om informationssäkerhet från vår kunskapsbank

Krav på informationssäkerhet? Det här behöver du veta!

Mindre energibolag och kraven från myndigheterna – var börjar man?

Informationssäkerhet och leverantörer, så ökar du kontrollen