Penetrationstest

En penetrationstest (pentest) er en autoriseret og kontrolleret simulering af et cyberangreb, der udføres af sikkerhedseksperter for at identificere udnyttelige sårbarheder, inden en reel angriber finder dem. En pentest giver et realistisk billede af organisationens faktiske sikkerhedsniveau.

Tilbage til ordbog

Hvad er en penetrationstest?

En penetrationstest er en struktureret sikkerhedsgennemgang, hvor specialiserede sikkerhedseksperter (penetrationstestere eller "ethical hackers") med tilladelse forsøger at kompromittere organisationens systemer på de samme måder, som en reel angriber ville gøre det. Målet er at finde og dokumentere udnyttelige sikkerhedssvagheder, inden de udnyttes af kriminelle.

Penetrationstest adskiller sig fra sårbarhedsscanning ved at inkludere manuel analyse, kreativ angrebstænkning og faktisk udnyttelse af sårbarheder – ikke blot automatiseret registrering.

Typer af penetrationstest

Penetrationstest klassificeres efter omfang og information givet til testeren:

Black-box: Testeren har ingen forudgående information om systemet – simulerer et eksternt angreb fra en ukendt angriber.
White-box: Testeren har fuld information om systemer, kildekode og infrastruktur – giver den mest grundige test.
Grey-box: Delvis information givet – simulerer fx et angreb fra en privilegeret medarbejder.

Penetrationstest kan målrettes mod: eksternt netværk, internt netværk, webapplikationer, API'er, mobile apps, fysisk sikkerhed og social engineering.

Testprocessen

En typisk penetrationstest forløber i fem faser:

Rekognoscering: Informationsindsamling om målet, herunder offentligt tilgængelige data, netværksintervaller og teknologistakke.
Scanning og enumeration: Kortlægning af angrebsfladen ved at identificere åbne porte, tjenester, versioner og potentielle indgangspunkter.
Exploitation: Aktiv udnyttelse af identificerede sårbarheder for at opnå adgang eller eskalere rettigheder.
Post-exploitation: Vurdering af konsekvenserne af vellykket udnyttelse, herunder lateral bevægelse og dataadgang.
Rapportering: Dokumentation af alle fund med klare, prioriterede anbefalinger til udbedring.

Rapporten er slutproduktet: En penetrationstest er kun værdifuld, hvis fundene omsættes til konkrete forbedringer. Vær sikker på, at rapporten indeholder klare, prioriterede anbefalinger, og at der følges op på dem.

Hvornår er penetrationstest et krav?

Penetrationstest er eksplicit krævet eller stærkt anbefalet i flere frameworks:

CIS Controls: Kontrol 18 (Penetration Testing) er en IG3-kontrol, der kræver regelmæssige penetrationstest.
DORA: Finansielle virksomheder skal gennemføre trusselsstyret penetrationstest (TLPT) under TIBER-EU-rammen.
PCI DSS: Krav 11.3 foreskriver penetrationstest for organisationer, der håndterer betalingskortdata.
NIS2: Indirekte krævet gennem forpligtelser til risikovurdering og sikkerhedstestning.
ISO 27001: Ikke eksplicit krævet, men bredt betragtet som best practice og ofte en del af Annex A-kontrolimplementering.

Ofte stillede spørgsmål om penetrationstest

Hvad er en penetrationstest?

En penetrationstest er en autoriseret simulering af et cyberangreb udført af sikkerhedseksperter for at identificere udnyttelige sårbarheder i en organisations systemer. Den giver et realistisk billede af det faktiske sikkerhedsniveau.

Hvad er forskellen på en penetrationstest og en sårbarhedsscanning?

En sårbarhedsscanning er en automatiseret proces, der identificerer kendte sårbarheder. En penetrationstest går videre ved at inkludere manuel analyse, kreative angrebsteknikker og faktisk udnyttelse for at afgøre, om sårbarheder kan bruges til at opnå adgang eller forårsage skade.

Hvor ofte bør penetrationstest gennemføres?

Best practice er at gennemføre penetrationstest mindst en gang om året og efter væsentlige ændringer i infrastruktur eller applikationer. Nogle regulatoriske frameworks som PCI DSS og DORA specificerer minimumsfrekvenser.

Hvad er black-box, white-box og grey-box testning?

Black-box-testning giver testeren ingen forudgående information og simulerer en ekstern angriber. White-box-testning giver fuld information for den mest grundige test. Grey-box-testning giver delvis information og simulerer en insider eller delvist informeret angriber.

Er penetrationstest et krav under ISO 27001?

ISO 27001 kræver ikke eksplicit penetrationstest, men det betragtes bredt som best practice og implementeres ofte som en del af Annex A-kontroller for sårbarhedsstyring og sikkerhedstestning.