Penetrationstest

Våra konsulter kombinerar manuell och automatiserad testning med kodgranskning för att uppnå en utmärkt täckning av ditt system under test. Generellt sett utför vi vår testning "white-box" för att säkerställa kostnadseffektivitet och för att kunna hitta de mest komplexa sårbarheterna.

Penetrationstestets anatomi

Trots att de tekniska detaljerna varierar beroende på systemet under test och målet för testet, är processen densamma:

  • Scoping av målet och planering görs nära kunden. Omfattningen kan fokusera på mycket specifik funktionalitet för att identifiera svåra att hitta problem eller vara bred för att täcka vanliga problem i en stor attackyta. Omfattningen och planeringen anpassas till systemets mognad och kundens behov. Tillgång och tillgänglighet till system och hårdvara beaktas också.
  • Startmöte hålls med kunden för att starta testningen, överlämna åtkomst och eventuell hårdvara eller annan information som behövs.
  • Informationssamling och rekognoscering utförs för att förstå mer om systemet under test och anpassa det kommande testet.
  • Testning består av flera aktiviteter som till exempel upptäckt, skanning, sårbarhetsbedömning, exploatering (post-exploitation), slutlig analys och granskning. Detta är när vi utmanar systemet under test.
  • Rapportering och presentation av resultaten görs med målet att möjliggöra förbättringar av kundens säkerhet. Efter att rapporten har överlämnats till kunden hålls en avslutande presentation för att visa och diskutera resultaten med kunden och intresserade parter.

Målet med penetrationstestet är att göra begreppet cybersäkerhet enkelt och begripligt för er och era kollegor, att öka er medvetenhet och hjälpa er ta aktiva beslut för att förstärka er säkerhet.

Ni får en skriftlig rapport och en presentation under ett avrapporteringsmöte där vi går igenom resultaten, inklusive riskbedömning och rekommenderade åtgärder för riskminimering. Vi beskriver de verktyg som används, hur testet utfördes och resonemanget bakom resultaten och riskerna. Eventuella användbara skript för testning kan också överlämnas.

Vissa av våra kunder använder testresultaten för att lära sig och förbättra sin egen säkerhetstestning. Om det finns specifika kompetensbrister erbjuder vi också utbildningar som sträcker sig från allmänna introduktsföreläsningar till interaktiva workshops med era utvecklare och testteam.


Kontakta oss för att fråga om ett penetrationstest med våra experter.

Vanliga frågor

  • Ett penetrationstest är en auktoriserad, simulerad cyberattack på ett datorsystem (inbyggda system och fordon inkluderat), nätverk eller applikation. Oftast är penetrationstestarna väl informerade om systemet under test, har tillgång till källkod och är i kontakt med systemägarna för att ge korrekta och detaljerade resultat på kort tid.

    Ett penetrationstest kan göras med fysisk närvaro i era lokaler och kan utföras med olika nivåer av medvetenhet, beroende på testets omfattning.

  • Att investera i cybersäkerhet genom penetrationstestning är ett sätt att skydda företaget, kunder och värdefull data. För vissa företag och system handlar det också om regler och säkerhet, att säkerställa driften av kritisk infrastruktur, att minska stöld i finansiella system eller fordonens värdighet. Ett penetrationstests primära mål är att utvärdera säkerheten i det system som testas. Detta görs genom att identifiera svagheter (sårbarheter) i målets konfiguration och/eller implementering som kan leda till obehörig åtkomst till funktioner eller data.

  • Det kan utföras i flera faser av utvecklings- och utgivningscyklerna, till exempel när en ny funktion implementeras eller ett nytt system ska distribueras. Det beror helt på målet, dess livscykel och tillämpliga krav. Penetrationstester kan också utföras på äldre system för att bedöma säkerheten och klargöra risker. Eventuella sårbarheter som åtgärdas gynnas av ett verifieringstest för att bekräfta lösningarna och undersöka eventuella nya sårbarheter eller risker.

  • Resultatet av ett penetrationstest är, förutom en omfattande rapport, en bättre förståelse för din säkerhet och expertrekommendationer om hur du kan förbättra den.

    Efter ett penetrationstest erbjuder vi verifieringstester för att bekräfta att tidigare funna sårbarheter har åtgärdats, samt rådgivningstjänster och utbildning för att förbättra den övergripande säkerheten.