Vad är penetrationstest?

Bildstor2

”Cyberangrepp i kombination med bristande säkerhetsskydd riskerar att röja Sveriges totalförsvarsförmåga allt eftersom den byggs upp. Ett fungerande säkerhetsskydd är avgörande för att skydda Sverige mot angrepp.” skriver Säkerhetspolisen i sin årsrapport 2021. Cyberattacker och spionage ökar nu i snabb takt. Lanseringen av mobilnät 5G kan ge ytterligare ökad risk för angrepp, konstaterar Säkerhetspolisen i samma rapport. Ni kan skydda er mot detta med hjälp av ett penetrationstest. 

Vad är ett penetrationstest?

När IT- och säkerhetsexperter, på uppdrag av ert företag, utför auktoriserade och simulerade cyberattacker på era datasystem, kallas detta för ett penetrationstest eller pentest. Ett pentest ska identifiera svagheter i systemen och utvärdera företagets säkerhetsnivåer.

Detta ingår i ett penetrationstest

Ett pentest kan innehålla delar av eller samtliga steg som beskrivs nedan: 

  • Extern kartläggning av organisation och personal för att exponera läckor och klarlägga deep web, dark web och informationsflöden.
  • Manipulation av anställda i syfte att få dem att lämna ifrån sig känsliga uppgifter eller ge tillgång till system genom social engineering.
  • Fysiska intrång i syfte att kartlägga och få åtkomst till interna system samt för att placera dolda accesspunkter.
  • Simulering av skadlig kod via USB-stickor eller QR-koder.
  • Scanning och intrångsförsök mot externa servrar eller internetbundna tjänster.
  • Försök till fysiska intrångsförsök mot interna servrar och tjänster inifrån anläggningen.
  • Angrepp via trådlösa enheter såsom wifi, trådlösa möss och RFID-inpasseringssystem.
  • Phishing sker via e-post med länkar och bilagor med simulerad, skadlig kod.
  • Applikationstester och systemgranskningar.
  • Alla penetrationstester bör avslutas med genomgående analyser och rapportering av genomförd prövning samt rekommenderade åtgärder.

Så kan ett penetrationstest utföras

Ett sätt att identifiera luckor i organisationens säkerhetsförsvar och att pröva den interna detektion- och responsförmågan är att tillsätta ett red team, som simulerar en attack genom att penetrera en miljö i verksamheten. Detta kan ske genom likväl externa som interna sårbarhetsanalyser och penetrationstester, i form av exempelvis black box-, gray box- eller white box-testning. Dessa kan med fördel kombineras med social engineering-testning, där intrång genom social manipulation sätter motståndskraften på prov. 

Ordlista om penetrationstest

Penetrationstest eller pentest är en sårbarhetsbedömning där nätverk och servrar aktivt angrips av ett professionellt säkerhetsbolag för att testa, och därefter utvärdera säkerheten.

Red team är en grupp som spelar rollen som angripare och utför ett kontrollerat försök att pröva cybermotståndet med fokus på anställda, processer och teknik. 

Social engineering inbegriper manipulation av anställda till att utföra intrång. Den svenska termen är social ingenjörskonst. Målet är att påverka, manipulera eller lura offer att ge ut personlig information. 

Black box simulerar ett realistiskt scenario där angriparen inte får någon kännedom om den interna strukturen och startar angreppet. Oftast är det enbart beställaren som har information om det pågående testet medan resten av organisationen sätts på prov. 

Gray box-simulation innebär ett delvis realistiskt scenario. Till skillnad från black box inleder angriparen oftast här inifrån perimetern. Testet menar att lära av vad en angripare kan göra när de väl är inne.

White box ger angriparen full tillgång till system och källkod, så att en systemgranskning kan utföras från insidan.

Penetrationstest med SRS Security

Som en ledande helhetsleverantör inom Security Risk Management besitter vi på säkerhetsbolaget SRS Security djuplod kunskap inom penetrationstestning. Innan man genomför penetrationstester på sina system och processer kan det finnas fördelar med att genomföra en Cyber Readiness Review (CRR). CRR är en nulägesanalys som tydliggör verksamhetens skyddsvärden samt vilken detektions- och responsförmåga verksamheten har. Cyber Readiness Review visar skillnaden mellan verksamhetens verkliga och önskade säkerhetsnivåer samt förslag till åtgärder.

Både Cyber Readiness Review och penetrationstest är något vi erbjuder företag, organisationer och myndigheter, bland en stor mängd andra säkerhetstjänster. Vi skapar alltid anpassade säkerhetslösningar utifrån verksamhetens behov och mål. Välkomna att kontakta oss, så leder vi er rätt.