Hvad er en penetrationstest?
En penetrationstest er en autoriseret, kontrolleret sikkerhedstest, hvor specialister forsøger at bryde ind i jeres systemer på samme måde, som en rigtig angriber ville. Hvad er en pentest i praksis? Et struktureret forløb: aftale om scope og spilleregler, rekognoscering, aktive angrebsforsøg mod netværk, applikationer eller medarbejdere, og til sidst en rapport, der viser præcis, hvor forsvaret holdt, og hvor det brast. Testen efterprøver hele kæden: teknik som firewall og MFA, konfiguration, og ofte også mennesker via simuleret phishing. Center for Cybersikkerhed anbefaler generelt, at virksomheder tester deres forsvar systematisk frem for at antage, at det virker.
Penetrationstest vs. sårbarhedsscanning
De to forveksles ofte, men løser forskellige opgaver:
- Sårbarhedsscanning er automatiseret: et værktøj scanner systemerne og lister kendte sårbarheder: hurtigt, billigt og velegnet til at køre løbende, fx månedligt. Ulempen er falske positiver og ingen vurdering af, om hullerne reelt kan udnyttes.
- Penetrationstest er manuel og målrettet: specialister udnytter sårbarhederne, kæder små fund sammen til reelle angrebsveje og vurderer den faktiske forretningsrisiko. Det giver færre, men langt mere handlingsbare resultater.
Det bedste setup er begge dele: løbende scanning som grundhygiejne og periodiske penetrationstest som realitetstjek af det samlede forsvar, inklusive ting scanneren ikke ser, som fejlkonfigureret adgangsstyring og svage interne skel.
Hvad koster en penetrationstest?
Prisen afhænger af omfanget, ikke af en fast takst. De vigtigste faktorer er: scope (én webapplikation, det eksterne perimeter eller hele det interne netværk), testtype (black box uden forhåndsviden, grey box med brugeradgang eller white box med fuld indsigt), kompleksitet (antal systemer, integrationer og miljøer), samt rapporterings- og opfølgningsbehov (fx re-test efter udbedring). En snævert afgrænset test er væsentligt mindre omfattende end en fuld intern test med efterfølgende verifikation. Få altid et tilbud baseret på et konkret scope frem for at sammenligne løse overslag.
Hvor ofte bør man teste?
Tommelfingerreglen er mindst én gang årligt, og derudover ved væsentlige ændringer: nye internetvendte systemer, større ombygninger af infrastrukturen, cloud-migreringer eller efter en sikkerhedshændelse. Standarder og lovgivning trækker samme vej: både ISO 27001 og NIS2 forudsætter, at I løbende efterprøver jeres kontroller. Er I aldrig blevet testet, er det vigtigste dog ikke frekvensen, men at komme i gang. Start eventuelt med en bredere sikkerhedsgennemgang, der afdækker de åbenlyse huller, før pentesten går i dybden.
Sådan hjælper MI Support IT
Vi hjælper jer før, under og efter testen: afgrænsning af det rigtige scope, en indledende sikkerhedsgennemgang af jeres miljø, udbedring af fundene og løbende hærdning af forsvaret, som en del af IT-sikkerhed. Kontakt os, hvis I vil vide, hvor jeres forsvar reelt står, når det bliver udfordret.