…

 

Penetrationstest

Find hullerne før hackerne gør

Jeres firewall er opdateret. Jeres antivirus kører. Jeres IT-leverandør siger, at I er sikre.

Men kan jeres systemer faktisk brydes? Det ved I først, når nogen prøver.

En penetrationstest er et kontrolleret angreb på jeres systemer. Vi forsøger at bryde ind, præcis som en rigtig hacker ville gøre det. Forskellen er, at vi fortæller jer, hvad vi finder.

Læs den fulde guide til penetrationstest her.

Hvad er en penetrationstest?

En penetrationstest er en praktisk afprøvning af jeres IT-sikkerhed. I stedet for at kigge på konfigurationer og politikker, forsøger vi aktivt at udnytte sårbarheder i jeres systemer.

Det kan være:

• Sårbarheder i webapplikationer
• Fejlkonfigurationer i netværk og servere
• Svage eller stjålne passwords
• Manglende opdateringer med kendte sikkerhedshuller
• Åbne porte og tjenester, der ikke burde være eksponeret
• Muligheder for at eskalere rettigheder

Resultatet er en rapport med konkrete fund, dokumentation for hvad vi kunne opnå, og prioriterede anbefalinger til at lukke hullerne.

Typer af penetrationstest

En penetrationstest kan have forskellige scope og tilgange, afhængigt af hvad I vil have testet.

Ekstern penetrationstest

Test af jeres systemer udefra. Hvad kan en angriber se og udnytte fra internettet? Webapplikationer, mailservere, VPN, fjernadgang.

Intern penetrationstest

Test indefra jeres netværk. Hvad kan en angriber opnå, hvis de allerede er kommet ind? Eller en ondsindet medarbejder? Eskalering af rettigheder, lateral bevægelse, adgang til følsomme data.

Webapplikationstest

Fokuseret test af en specifik webapplikation. Login-funktioner, inputvalidering, sessionshåndtering, API-sikkerhed.

Trådløs netværkstest

Test af jeres WiFi-sikkerhed. Kan uvedkommende komme på jeres netværk? Er gæstenetværket isoleret fra produktionsnetværket?

Vi hjælper jer med at vælge den type test, der giver mest værdi for jeres situation.

Forskellen på penetrationstest og andre ydelser

Penetrationstest forveksles ofte med andre sikkerhedsydelser. Her er forskellen:

Penetrationstest vs. sårbarhedsscanning

En sårbarhedsscanning kører automatiske værktøjer, der leder efter kendte sårbarheder. En penetrationstest går videre og forsøger aktivt at udnytte fundene. Scanneren finder potentielle problemer. Penetrationstesten viser, om de faktisk kan udnyttes.

Penetrationstest vs. cybersikkerhedsaudit

En cybersikkerhedsaudit er en bredere gennemgang af jeres sikkerhed: politikker, processer, konfigurationer, leverandører. En penetrationstest er en fokuseret, praktisk afprøvning af specifikke systemer. De to supplerer hinanden.

Penetrationstest vs. red teaming

En penetrationstest har et afgrænset scope og søger at finde så mange sårbarheder som muligt. Red teaming simulerer et realistisk angreb med et konkret mål og bruger alle midler: teknik, social engineering, fysisk adgang. Red teaming tester jeres samlede forsvar. Penetrationstest tester jeres systemer.

Penetrationstest vs. teknisk gennemgang

En teknisk sikkerhedsgennemgang undersøger jeres systemer indefra: konfigurationer, opsætning, rettigheder. En penetrationstest angriber dem udefra (eller indefra). Gennemgangen finder bredden af problemer. Penetrationstesten viser, hvad der kan udnyttes.

Hvem har brug for en penetrationstest?

Virksomheder med webapplikationer: Kundeportaler, webshops, selvbetjeningsløsninger. Systemer, der er eksponeret mod internettet, er konstante mål.

Virksomheder med fjernadgang: VPN, remote desktop, cloud-systemer. Adgangen, der gør hjemmearbejde muligt, er også en potentiel indgang for angribere.

Virksomheder med følsomme data: Persondata, sundhedsoplysninger, finansielle data. Data, som I ikke har råd til at miste eller eksponere.

Virksomheder med compliance-krav: NIS2 og andre reguleringer kræver, at I tester jeres sikkerhed. En penetrationstest er dokumentation for, at I har gjort det.

Virksomheder efter ændringer: Ny webapplikation, nyt netværkssetup, ny cloud-løsning. Ændringer introducerer nye risici. En penetrationstest verificerer, at det nye er sikkert.

Virksomheder, der vil validere deres leverandør: Jeres IT-leverandør siger, at alt er sikkert. En uafhængig penetrationstest viser, om det passer.

Hvad får I ud af en penetrationstest?

Efter en penetrationstest har I:

Dokumentation for reelle sårbarheder: Ikke teoretiske risici, men konkrete huller, vi faktisk kunne udnytte.

Bevis for, hvad en angriber kan opnå: Vi dokumenterer, hvor langt vi kom. Kunne vi læse data? Ændre data? Overtage systemer?

Prioriteret liste over fund: Ikke alt er lige kritisk. I ved, hvad der skal fikses først.

Grundlag for dialog med leverandører: Konkrete fund I kan tage op med jeres IT-leverandør eller udviklere.

Dokumentation til compliance og ledelse: Bevis for, at I har testet jeres sikkerhed, og hvad resultatet var.

30 års erfaring med at finde huller

Jeg har arbejdet med IT-sikkerhed i mere end 30 år. Jeg ved, hvordan angribere tænker, og hvor de typisk finder vej ind.

Finanssektoren: Danske Bank og EDC, hvor sikkerhed er kritisk, og hvor systemerne konstant er under pres.

Offentlige myndigheder: Styrelser med ansvar for borgernes data og samfundskritiske systemer. Miljøstyrelsen er blandt mine referencer.

Kritisk infrastruktur og forsyning: Organisationer, hvor et vellykket angreb kan have konsekvenser langt ud over IT-afdelingen. Fortrolighed er en naturlig del af arbejdet her.

Den erfaring betyder, at jeg ikke bare kører standardværktøjer. Jeg ved, hvad jeg leder efter, og jeg ved, hvordan fund skal prioriteres i forhold til jeres forretning.

Sådan foregår en penetrationstest

1. Scoping
   Vi definerer, hvad der skal testes. Hvilke systemer? Hvilke metoder? Hvornår? Hvem skal vide, at testen foregår?
2. Rekognoscering
   Jeg indsamler information om jeres systemer. Hvad er eksponeret? Hvilke teknologier bruger I? Hvor er de potentielle indgange?
3. Test
   Jeg forsøger aktivt at udnytte sårbarheder og trænge ind i jeres systemer. Alt dokumenteres undervejs.
4. Rapport
   I får en rapport med alle fund, dokumentation for hvad jeg kunne opnå, og prioriterede anbefalinger.
5. Gennemgang
   Vi gennemgår resultaterne sammen, så I forstår fundene og ved, hvad I skal gøre.

Vil I teste mere end teknikken?

En penetrationstest fokuserer på tekniske sårbarheder. Men de fleste angreb involverer også mennesker.

Vil I teste jeres samlede forsvar, kan I supplere med:

• Cybersecurity mystery shopping: Test af, hvordan medarbejdere reagerer på phishing og social engineering.
• Fysisk sikkerhedstest: Test af, om uvedkommende kan komme ind på jeres lokationer.
• Red teaming: Fuld angrebssimulering, der kombinerer alle metoder.

Det får I med en penetrationstest hos Nielco IT

• Praktisk afprøvning af jeres systemers sikkerhed
• Dokumentation for reelle sårbarheder, ikke teoretiske risici
• Prioriteret liste over fund med anbefalinger
• Uafhængig vurdering, I kan bruge over for leverandører
• Dokumentation til compliance og ledelse
• Sparring med en specialist med 30+ års erfaring fra finanssektoren og kritisk infrastruktur

Find ud af, om jeres systemer kan brydes

Ring på 70 13 63 23 eller udfyld formularen.

Så tager vi en snak om, hvad I vil have testet, og hvordan en penetrationstest kan give jer svar.