Skip to main content

Penetrasjonstest

Identifiser sikkerhets-risikoer i nettverket med ViroSafe penetrasjonstesting.
TA KONTAKT

Hva er en penetrasjonstest?

En penetrasjonstest (pentest) er en kontrollert sikkerhetsevaluering der vårt team simulerer virkelige angrep for å identifisere sårbarheter i systemer, applikasjoner og nettverk. Vi utnytter svakheter for å validere sikkerhetsproblemer, bestemme hvor langt en angriper kunne trenge inn i en organisasjon, og gi handlingskraftige anbefalinger for å styrke sikkerhetstilstanden.

Finn sårbarheter

Penetration Test

Utnytt svakheter

Penetration Test

Gi anbefalinger

Penetration Test

Pentest

Mye mer enn bare skanning

I motsetning til en sikkerhetsrevisjon, i en pentest aktivt utnytter vi oppdagede svakheter for å demonstrere reell påvirkning.

Penetrasjonstest

Vi kombinerer industriledende rammeverk og metodologier med tiår med cybersikkerhetskompetanse. Våre penetrasjonestesttjenester er utformet for å simulere virkelige angrepssituasjoner, som gir handlingskraftige innsikter om sikkerhetsstillingen i bedriften.

Vi følger etablerte standarder inkludert OWASP, OSSTMM, MITRE ATT&CK og PTES for å sikre omfattende dekning og konsistent kvalitet på tvers av alle oppdrag.

HVORDAN VI UTFØRER EN PENETRASJONSTEST

Tre testmodaliteter

 

Black Box

Grey Box

White Box
Informasjonsnivå Ingen eller bare offentlig tilgjengelig informasjon Begrenset legitimasjon for forskjellige brukerroller Full tilgang til kildekode og arkitektur
Angripertype Ekstern angriper uten forhåndskunnskaper Privilegert intern bruker eller kompromittert konto Intern sikkerhetsrevisjon eller utviklernivåanmeldelse
Innsamling av etterretninger Ekstern angriper uten forhåndskunnskaper Privilegert intern bruker eller kompromittert konto Full tilgang til kildekode og arkitektur
Eskalering av privilegier Ekstern angriper uten forhåndskunnskaper Privilegert intern bruker eller kompromittert konto Intern sikkerhetsrevisjon eller utviklernivåanmeldelse
Dekning Ekstern angriper uten forhåndskunnskaper Privilegert intern bruker eller kompromittert konto Full tilgang til kildekode og arkitektur
Tidsinvestering Grunnlinje Grunnlinje + 2 dager Grunnlinje + 5 dager

Brukte rammeverk og metodologier

OWASP

Sikkerhetstesting av webapplikasjoner
  • Informasjonsinnsamling og etterretning
  • Konfigurasjon og distribusjonsstyring
  • Identitetsstyring
  • Autentiseringsmekanismer
  • Autorisasjonsmekanismer
  • Øktbehandling
  • Inndatavalidering og sanering
  • Feilhåndtering
  • Kryptografiske systemer
  • Klientsikkershet

OSSTMM

Klassifisering og måling av risiko

KRITISK, HØY, MEDIUM, LAV, INFORMASJONS-MESSIG

DANGER HIGH MEDIUM LOW INFO

MITRE ATT&CK

Motstanderes taktikk, teknikker og prosedyrer (TTPs)

Simulerer virkelige angrepssituasjoner

PTES

Standard for gjennomføring av penetrasjonstest

Ved å kombinere disse bransjestandard-rammeverkene, sikrer vi omfattende, konsistent og gjentakelig penetrasjonstesting som oppfyller internasjonale anbefalte metoder.

4 faser i pentestingprosessen

FASE 1

Innsamling av etterretninger

Samle informasjon om målinfrastrukturen

Aktiviteter

  • Infrastrukturkartlegging og oppdagelse av enheter
  • Tjenesteopplisting og fingeravtrykk
  • Innsamling av Open-source intelligence (OSINT)
  • Søk i sårbarhetsdatabase

Verktøy & teknikker

  • Nmap (nettverksskanning)
  • DNS-opplistelse
  • WHOIS-søk
  • Webserverfingeravtrykk

FASE 2

Identifisering

Oppdage og klassifiser sårbarheter

Aktiviteter

  • Sårbarhetsskanning (automatisert og manuell)
  • Klassifisering etter alvorlighetsgrad (KRITISK, HØY, MEDIUM, LAV, INFORMASJONSMESSIG)
  • CVE-identifikasjon og kryssreferanse
  • OWASP-testrammeverkprogram

Verktøy & teknikker

  • Burp Suite (webapplikasjonsskanning)
  • Nessus / OpenVAS (sårbarhetsskanning)
  • Manuell koderevisjon
  • Vurdering av konfigurasjon

FASE 3

Utnyttelse

Bekreft sårbarheter ved hjelp av kontrollert testing

Aktiviteter

  • Målrettet sårbarhetesutnyttelse
  • Forsøk på eskalering av privilegier
  • Simulering av "lateral movement"
  • Test av datatilgang

Verktøy & teknikker

  • Metasploit Framework
  • SQLmap (SQL-injeksjon)
  • BeEF (nettleserutnyttelse)
  • Egendefinerte exploit-skript

FASE 4

Rapporter

Dokumenter funn med bevis og anbefalinger

  • Teknisk sårbarhettsrapport med CVE-koder
  • CVSS-alvorlighetsscoring
  • Proof-of-concept-bevis
  • Vurdering av forretningspåvirkning
  • Detaljerte reparasjonsanbefalinger
  • Ledelsessammendragg

Våre testtjenester

Penetrasjonstesting av webbapplikasjoner

Varighet:

4 dager (liten) | 6 dager (medium) | 8 dager (stor)

Dekning:

Fullt OWASP 10-fase batteri, autentisering, autorisasjon, inndatavalidering, kryptografi, øktbehandling

  • Black Box (grunnlinje)
  • Grey Box (+2 dager)
  • White Box (+5 dager)

API-pentesting

Varighet:

4 dager (liten) | 6 dager (medium) | 8+ dager (stor)

Tester:

  • Infrastrukturkartlegging
  • Autentiseringskontroller
  • Kodeinpsning
  • XXE-sårbarheter
  • Headeranalyse
  • Inndatasanering

Intern pentesting

Varighet:

10-20 dager avhengig av infrastrukturstørrelse

Mål:

  • Identifiser interne sårbarheter
  • Test eskalering av privilegier fra standardbruker til domeneadministrator
  • Simuler insidertrusselscenarier
  • Vurder muligheter for "lateral movement"

Perimetrisk pentesting

Varighet:

2-4 dager avhengig av antall enheter

Dekning:

  • Eksterne leverandørtjenester
  • Nettverkssegmentering
  • Brannmureffektivitet
  • Eksponerte administrasjonsgrensesnitt

Testing av mobilapplikasjon

Varighet:

Variabel basert på applikasjonskompleksitet

Faser:

  • Arkitekturgjennomgang
  • Vurdering av datalagring
  • Kryptografisk analyse
  • Autentiseringsprøving
  • Funksjonalitetsprøving
  • Vurdering av kodekvalitet
  • Motstandsdiktighet mot reverse-ingeniøring

IOS & Android

Vurdering av skymiljø

Varighet:

4 dager per bruker (AWS) | Variabel (Azure)

Fokus:

  • IAM-tillatelser og RBAC
  • Lagring og nettverkskonfigurasjon
  • Tjenesteinformasjon og feilkonfigurasjoner
  • Muligheter for eskalering av privilegier
  • Datavern og kryptering

Tilpassede oppdrag: Alle våre tjenester kan skreddersys etter dine spesifikke behov. Ta kontakt for å diskutere dine unike sikkerhetstestingskrav.

WEBINARSIDE