Penetrationstest
Vi utför penetrationstester på uppdrag av kund där fokus ligger på att identifiera eventuella IT-säkerhetsbrister i system, nätverk eller produkter. Våra metoder och verktyg har utvecklats under mer än 20 års tid av omfattande IT-säkerhetsgranskningar.
Penetrationstestet vi genomför simulerar en fiktiv kvalificerad angripare med god kännedom om Era system, anställda eller produkter. Denna information inhämtas via öppna källor (OSINT) såsom webbtjänster, offentliga databaser eller sociala medier.
Penetrationstester genomförs inom följande kategorier:
- Granskning av hela system eller delkomponenter
- Penetrationstest av nätverk eller nätverkskomponenter
- Tester av produkter såsom krypto- eller säkerhetsprodukter
- Kodgranskning
- Internt eller externt penetrationstest
- Blackbox/whitebox-test
Samtliga tester föregås av en genomgång av uppdragets OPSEC (operationssekretess).
Kontakta Triop om penetrationstest
Nivå på penetrationstester
Granskning av webbtjänst
Vi går igenom Er webbtjänst och tillhörande API där vi kontrollerar eventuella säkerhetsbrister eller andra säkerhetshöjande åtgärder som bör införas. Detta test tar ca 2 veckor att genomföra och förutsätter att vi kan ta del av minst två olika konton till tjänsten med olika behörigheter.
Penetrationstest bas
Den första nivån heter bas och där ingår ett externt test som genomförs över Internet mot kundens system såsom webbsida eller andra tjänster som är ansluta mot Internet.
Efter testet så levereras en rapport samt ett intyg. Intyget påvisar att en hög nivå av säkerhet har uppnåtts efter att eventuella säkerhetsbrister uppdagats.
Penetrationstest medel
Denna nivå är mer omfattande än basnivån och inkluderar mer omfattande tester samt förslag på åtgärder. Vi tittar närmare på vad som är skyddsvärd information och hur en angripare kan göra för att exfiltrera eller modifiera denna information.
Vi avslutar uppdraget med leverans av en omfattande rapport.
Penetrationstest avancerad
Externt och internt penetrationstest med test av exfiltration av information där vi använder specialutvecklad fiktiv skadlig kod. Vi försöker identifiera nya typer av sårbarheter i produkter eller system som ej identifierats eller finns offentliga (0-days eller nolldagars).
Detta uppdrag avslutas med skriftlig samt muntlig rapportering.
Läs även mer om whitebox samt blackbox-tester på penetrationstest.se. Denna del kan även gå under benämningen Red Team eller RedTeaming eftersom vi simulerar en antagonist som har mer omfattande resurser.
Metodik penetrationstest
Vår utvecklade metodik använder sig en blandning av de bästa bitarna från följande rekommenderade metodik:
- NIST
- OSSTMM
- CESG
- PCI DSS
- OWASP (främst för webb)
Denna metodik har vi utvecklat och förfinat under mer än 15 år.