pentest symbol

Pentest – Penetrationstest

– kontrollerat dataintrång i syfte att utvärdera sårbarheter och hitta säkerhetshål

Ett penetrationstest, eller pentest görs med syftet att utvärdera sårbarheter. Testet utförs av en eller flera specialister som försöker utnyttja systemets sårbarheter för att bryta sig in. Målet är att utvärdera systemet och identifiera vilka sårbarheter som kan leda till säkerhetsrisker vid en framtida cyberattack. Vet man vilka sårbarheter som är mest kritiska kan man enklare prioritera resurser för att åtgärda dem – vilket på sikt gör systemen säkrare och minskar risken för dataintrång.

Sammanfattning

  • Utförs av professionella hackare

  • Testar systemets sårbarheter

  • Hittar vilka sårbarheter som är säkerhetshål

Penetrationstest datorskärm

Våra pentest

Vår långa erfarenhet har lärt oss att inte tumma på kvalitén. Penetrationstestarens egna kunskaper är nästan alltid det som styr hur bra utfallet av penetrationstestet blir. Därför utför vi dels våra egna pentest och samtidigt använder oss av skickliga externa aktörer.

Kontakta oss

Vi erbjuder pentester med tre olika utgångspunkter. Black-, grey-, och whitebox. Skillnaden är främst förutsättningen för penetrationstesten – med andra ord den mängd information som vi blir tilldelade om systemet och dess egenskaper. Efter ett genomfört pentest skickas resultaten till utsedd person, vanligtvis organisationens IT- och nätverkssystemansvariga, så att de kan patcha och åtgärda bristerna samt fatta strategiska beslut.

Black box

Vi känner inte till något om systemet eller den miljö som ska angripas och saknar helt behörighet. Förutsättningarna är exakt samma som för en utomstående angripare.

Fokus läggs främst på att angripa det yttre skyddet, men även vidare in i systemen som ligger bakom. Black box är tidskrävande men ger också en tydlig övergripande bild över hur väl systemet är skyddat vid ett intrångsförsök.

Grey box

Ett mellanting mellan Black box- och White box där vi har viss intern information om hur systemet fungerar. Grey box simulerar en angripare som redan har penetrerat det yttre skyddet och har någon form av intern åtkomst till nätverket.

Denna utgångspunkt är mest tidseffektiv och hoppar över det initiala intrångsförsöket för att fokusera på att försöka upptäcka system och hitta sårbarheter i de interna informationskänsliga systemen.

White box

Vi känner till allt om miljön och har även tillgång till denna. I detta fall så är testaren även en behörig användare i systemet.

Alternativet ger möjlighet att identifiera potentiella svagheter från insidan. Både interna och externa system kan analyseras och utvärderas bakom kulisserna. Den här typen av pentest är väldigt omfattande men kan med mer precision hitta felkonfigurationer, dålig programvara och säkerhetsbrister.

Man som arbetar med nätverkserver

Oavsett vilken typ av metod ni väljer är syftet med ett penetrationstest att göra ert nätverk, system eller applikation säkrare. Hur era system är uppbyggda och hur mycket tid ni kan lägga på ett pentest är avgörande. Har man till exempel tio system som ligger bakom en brandvägg där bara ett av dem behöver skyddas kan det vara värt att fokusera på en grey eller whitebox och stärka skyddet för just det systemet. Inget företags system är det andra likt. Det är därför viktigt att vi tillsammans med er går igenom förutsättningar och metoder för att komma fram till den bästa lösningen. Vårt mål är alltid att ge er maximalt resultat.

Pentest – genomförandet och processen

Processen som används för att genomföra pentestet ser olika ut beroende på person som utför det samt pentestets förutsättningar. Ofta handlar det om fyra till sex steg som ibland repeteras likt ett kretslopp beroende på penetrationstestets omfattning. Det här är en exempelprocess för ett Black Box pentest.

  1. Insamling av information kring målet
    Utöver huvudmålet, finns sekundära mål med lägre säkerhet? Vilka bakomliggande system kan målet förväntas ha. Finns öppen information om målet tillgänglig, vilka IP-adresser kan vara aktuella för en attack. Vilka går att få tag på?
  2. Skanning av mål:
    Vilka öppna portar har målet och hur ser sårbarheterna ut vid en sårbarhetsskanning?
  3. Attack:
    Utnyttja sårbarheterna och försöka få åtkomst till system genom till exempel öppna portar, inloggningsfält, sårbarheter i system och så vidare.
  4. Avslut:
    Avsluta attacken, sammanställa bevis, upprätta rapport över sårbarheter som systemägaren får.

Pentestare använder oftast ett sårbarhetsskanningsverktyg för att först skanna igenom målet efter potentiella sårbarheter i systemet. Varje sårbarhet som upptäcks testas därefter av pentestaren för att undersöka om den kan användas för att penetrera systemet. Penetrationstestaren försöker med andra ord att använda sårbarheten för att penetrera systemet. Det är också skillnaden mellan en sårbarhetsskanning och ett penetrationstest.

Pentest – hittar säkerhetshål

Ett pentest kan hitta helt okända sårbarheter i ditt system. Sårbarheter som normalt inte upptäcks av en sårbarhetsskanning. Men resultatet av ett penetrationstest är direkt kopplat till den som utför det. Vi vet att kreativitet och erfarenhet är två viktiga beståndsdelar som ger en tydlig skillnad på slutresultatet. Därför använder vi alltid seniora säkerhetsanalytiker för att utföra våra penetrationstester. Ett pentest kan hitta sårbarheter som bland annat:

Felkonfigurationer

En felaktigt konfigurerad server kan potentiellt öppna verksamheten mot omvärlden.

Öppna portar

Fler öppna portar och tjänster leder till fler ingångar och därmed ökade risker.

Filer med lösenord

Filer som har felaktiga rättigheter och innehåller lösenord utgör en säkerhetsrisk

Standardkonton

Användarkonton som skapas eller följer med när man installerar en programvara eller produkt

Kända sårbarheter (CVE)

Gamla och nya sårbarheter kan utnyttjas och användas för att få åtkomst till system

En sårbarhetsskanning är inte ett pentest. Enkelt förklarat hittar vårt sårbarhetsskanningsvertyg sårbarheterna varpå penetrationstestaren använder sårbarheterna för att utvärdera dess risknivå. Det kan vara svårt att se skillnaden mellan dem eftersom båda metoderna i grunden testar ett systems säkerhet. Ett pentestet rekommenderar vi bara om du tidigare har gjort en sårbarhetsskanning eller ett mindre pentest. Det beror framförallt på att det krävs en högre mognadsgrad för att ta hand om resultatet av ett penetrationstest. Frågan man bör ställa sig är om det möjligt för organisationen att hantera och åtgärda de brister som ett pentest lägger fram.

Hör av dig!

Verkar det här intressant för ditt företag kan du antingen skicka ett meddelande med kontaktfunktionen, eller helt enkelt lyfta på luren och ringa.

Tel: 020 – 66 99 00
Besöksadress: Östra Storgatan 67, Jönköping

Mer om informationssäkerhet från vår kunskapsbank