Spring til hovedindhold

IT-sikkerhed

Hvad er en penetrationstest?

En penetrationstest afslører hullerne i jeres IT-sikkerhed, før angriberne finder dem. Se hvad testen omfatter, og hvordan et typisk forløb ser ud.

Kort sagt

En penetrationstest, ofte kaldet en pentest, er et kontrolleret angreb på jeres egne systemer, udført af sikkerhedsspecialister med jeres tilladelse.

Formålet er at finde og udnytte de sårbarheder, en rigtig angriber ville bruge, før det sker i virkeligheden. Testen er relevant for alle virksomheder, der har systemer eksponeret mod internettet, håndterer følsomme data eller skal dokumentere deres sikkerhedsniveau over for kunder og myndigheder.

Tre ting er værd at vide: en penetrationstest går dybere end en automatiseret sårbarhedsscanning, fordi mennesker aktivt forsøger at udnytte fundene og kæde dem sammen; resultatet er en prioriteret rapport med konkrete anbefalinger frem for en rå liste af alarmer; og testen bør gentages, når miljøet ændrer sig væsentligt, da sikkerhed er et øjebliksbillede.

MI Support IT hjælper danske virksomheder med at forberede, gennemføre og følge op på penetrationstest som del af det samlede sikkerhedsarbejde.

Tilbage til ordbogen

Hvad er en penetrationstest?

En penetrationstest er en autoriseret, kontrolleret sikkerhedstest, hvor specialister forsøger at bryde ind i jeres systemer på samme måde, som en rigtig angriber ville. Hvad er en pentest i praksis? Et struktureret forløb: aftale om scope og spilleregler, rekognoscering, aktive angrebsforsøg mod netværk, applikationer eller medarbejdere, og til sidst en rapport, der viser præcis, hvor forsvaret holdt, og hvor det brast. Testen efterprøver hele kæden: teknik som firewall og MFA, konfiguration, og ofte også mennesker via simuleret phishing. Center for Cybersikkerhed anbefaler generelt, at virksomheder tester deres forsvar systematisk frem for at antage, at det virker.

Penetrationstest vs. sårbarhedsscanning

De to forveksles ofte, men løser forskellige opgaver:

  • Sårbarhedsscanning er automatiseret: et værktøj scanner systemerne og lister kendte sårbarheder: hurtigt, billigt og velegnet til at køre løbende, fx månedligt. Ulempen er falske positiver og ingen vurdering af, om hullerne reelt kan udnyttes.
  • Penetrationstest er manuel og målrettet: specialister udnytter sårbarhederne, kæder små fund sammen til reelle angrebsveje og vurderer den faktiske forretningsrisiko. Det giver færre, men langt mere handlingsbare resultater.

Det bedste setup er begge dele: løbende scanning som grundhygiejne og periodiske penetrationstest som realitetstjek af det samlede forsvar, inklusive ting scanneren ikke ser, som fejlkonfigureret adgangsstyring og svage interne skel.

Hvad koster en penetrationstest?

Prisen afhænger af omfanget, ikke af en fast takst. De vigtigste faktorer er: scope (én webapplikation, det eksterne perimeter eller hele det interne netværk), testtype (black box uden forhåndsviden, grey box med brugeradgang eller white box med fuld indsigt), kompleksitet (antal systemer, integrationer og miljøer), samt rapporterings- og opfølgningsbehov (fx re-test efter udbedring). En snævert afgrænset test er væsentligt mindre omfattende end en fuld intern test med efterfølgende verifikation. Få altid et tilbud baseret på et konkret scope frem for at sammenligne løse overslag.

Hvor ofte bør man teste?

Tommelfingerreglen er mindst én gang årligt, og derudover ved væsentlige ændringer: nye internetvendte systemer, større ombygninger af infrastrukturen, cloud-migreringer eller efter en sikkerhedshændelse. Standarder og lovgivning trækker samme vej: både ISO 27001 og NIS2 forudsætter, at I løbende efterprøver jeres kontroller. Er I aldrig blevet testet, er det vigtigste dog ikke frekvensen, men at komme i gang. Start eventuelt med en bredere sikkerhedsgennemgang, der afdækker de åbenlyse huller, før pentesten går i dybden.

Sådan hjælper MI Support IT

Vi hjælper jer før, under og efter testen: afgrænsning af det rigtige scope, en indledende sikkerhedsgennemgang af jeres miljø, udbedring af fundene og løbende hærdning af forsvaret, som en del af IT-sikkerhed. Kontakt os, hvis I vil vide, hvor jeres forsvar reelt står, når det bliver udfordret.

Skal vi tage en snak om din virksomhed og jeres behov?

Rigtige mennesker taler til rigtige mennesker. Vi vender tilbage samme dag.