Vi bruger cookies og andre sporingsteknologier til at forbedre browsing-oplevelsen på vores hjemmeside, vise personaliseret indhold og målrettede annoncer, analysere trafikken på siden, og forstå hvor vores besøgende kommer fra. Hvis du vil vide mere, kan du læse vores cookie-politik. Du kan desuden læse vores privatlivspolitik, hvis du ønsker mere information. Ved at klikke ’accepter og luk’ giver du samtykke til, at vi bruger cookies og andre sporingsteknologier.
Hjem > Services > Advisory > Cybersikkerhed > Penetrationstests
  • Penetrationstests

    Vi udfører en penetrationstest – også kaldet pentest- som simulerer et hackerangreb

    Kontakt os

Penetrationstests - tjek af din cybersikkerhed

En white hat hacker leverer ofte en ubehagelig nyhed: Uden at du ved det, kan din organisation være et åbent slaraffenland, som indbyder cyberkriminelle og hackere til at tage for sig a retterne. Deres angreb kan komme via netværk, access points, Internet of Things (IoT), applikationer, Wi-Fi og mobile enheder. Og det er bare toppen af isbjerget.

Omkostningerne ved indbrud er tårnhøje. Et cyberangreb koster i snit danske virksomheder omkring en million kroner. Omkostningerne er ikke bare finansielle, men skader også omdømme i forhold til kunder og offentligheden.

Heldigvis kommer white hat hackere – også kendt som etiske hackere – også med løsningen på den situation. De kan udfordre og udforske din IT-sikkerhed og cybersikkerhed. Formålet er at teste din evne til at modstå fjendtligsindede angreb og se, om IT-sikkerhedspolitik og forsvaret for blandt andet netværk, access points og mobile enheder er effektivt.  

Via penetrationstests, så som test af Wi-Fi, mobiletest, applikationstest og en lang række andre områder udfordrer hackere dine systemer på måder, som det kan være umuligt for virksomheds egne sikkerhedseksperter at få øje på.

Som resultat får du og din organisation et klart billede af, hvor god din IT-sikkerhed og cybersikkerhed vitterlig er. Vores cybersikkerhedseksperter producerer i forbindelse med vores penetrationstests desuden en sikkerhedsrapport med prioriterede fundne svagheder og anbefalinger til, hvordan de hurtigst muligt kan udbedres.

Vores cybersikkerheds-afdeling har nogle af ikke bare Danmarks – men hele verdens – bedste penetrationstestere. Kontakt os for at høre mere om, hvordan de, og resten af vores team, kan hjælpe med at sikre din virksomhed eller organisations IT-systemer.
 

Angrebene kommer oftere

Hvis din virksomhed endnu ikke er blevet ramt af cyberangreb, så vil du i nærmeste fremtid være del af et mindretal. Ifølge en spørgeundersøgelse fra Dansk Industri oplevede hver tredje danske virksomhed i løbet af 2017 at blive ramt af en form for digitalt angreb, inklusiv hackerangreb. 

For en dansk virksomhed koster IT-sikkerhedshændelser i gennemsnittet omkring en million kroner. Ud over de direkte omkostninger forbundet med et indbrud, såsom tabet af forretningskritiske informationer og personfølsomme data, er der følgeomkostninger, som er svære at sætte et beløb på. Dit omdømme over for eksisterende og potentielle kunder lider et knæk, og tabet af data kan åbne virksomheden op overfor mulige søgsmål.

Det kan desuden lede til tab af tilliden hos kunder, der ved næste kontraktudløb ikke længere vil handle med din virksomhed, eller forværre mulighederne for at udvide kundegrundlaget. Alt sammen noget, der hindrer fremtidig vækst.

Skal vi teste din virksomhed?
 

Hvor er den blinde vinkel i din sikkerhed?

Det er en del af årsagen til, at flere og flere virksomheder og organisationer investerer mere og mere i at forbedre deres IT-sikkerhed og cybersikkerhed. Desværre er det kun en del af løsningen. Der er et behov for en test for at se, om dine tiltag rent faktisk fungerer og/eller giver bred beskyttelse.

Indefra kan det være mellem svært og umuligt at identificere, hvor sårbarhederne i de eksisterende sikkerhedssystemer og tilhørende politikker for IT-sikkerhed og informationssikkerhed findes. Det er en af årsagerne til, at penetrationstests er et yderst effektivt tiltag. En etisk hacker kan udfordre sikkerheden på måder, du endnu ikke har overvejet.
 

Penetrationstests - sådan forbedrer det din sikkerhed

Penetrationstests handler som udgangspunkt om at teste alle dele af din IT- og cybersikkerhed. Definitionen er, at en white hat hacker gør etisk og lovmæssig brug af midler, der kan anvendes til et nå et givent mål. Det kan handle om at bryde ind i – eller omgå IT-sikkerhedssystemer, for at teste systemernes forsvarsevne over for mulige angreb.

En white hat hacker eller -hackergruppe har indhentet specifik tilladelse fra det det firma eller den organisation, som han eller hun prøver at hacke. Al information om potentielle sikkerhedshuller leveres direkte til lederne i organisationen, som undersøges.

Hos nogle virksomheder kan den umiddelbare reaktion være, at penetrationstests ikke er for dem. De kan måske føle, at det kan åbne dem op for mulige angreb, men det er en forkert opfattelse. Det modsatte er tilfældet.

Kontakt os for at høre mere om, hvordan vores hold af cybersikkerhedseksperter kan sikre dine data og informationer gennem services som sårbarhedsskanninger, penetrationstests, firewall audit, red teaming mm.
 

Det giver penetrationstests svar på

En af de største fordele ved at hyre et team til at foretage penetrationstests er, at det hjælper dine systemudviklere med at identificere mulige sårbarheder i IT-systemerne. Uden grundige test kan det være umuligt for en organisation at svare på spørgsmål som:

  • Virker den implementerede sikkerhedsteknologi efter hensigten?
  • Har udefrakommende mulighed for at tiltvinge sig adgang til IT-infrastrukturen og/eller data, systemer eller applikationer?
  • Hvor er hullerne i vores IT-sikkerhed og cybersikkerhed?
  • Hvad kan bedst betale sig at bruge midler på her og nu for at opgradere vores sikkerhedsniveau?
  • Har interne firewall-test, test af applikationer, Wi-Fi-test rent faktisk fundet de sårbarheder, der er i vores sikkerhed?
  • Hvor klar er vores organisation på at modstå angreb fra en teknisk dygtig hacker eller IT-kriminel?

Kontakt os for en uforpligtende snak
 

Sådan foregår vores penetrationstests

Vi udfører en penetrationstest – også kaldet pentest- som simulerer et hackerangreb. Angrebet foregår ud fra et på forhånd aftalt scope. Eventuelt fundne sårbarheder rangeres ud fra, hvor kritiske de er, så det er nemt at gå videre med løsninger.

Penetrationstesten bruger blandt andet best practice branche-standarder. Vi udfører penetrationstest efter de bedste metoder som er kendt indenfor offensiv informationssikkerhed:

NIST: Kombinatorisk test, som giver en mere effektiv undersøgelse på tværs af en række applikationsområder.

OWASP: Best practice-rammer for web-applikationspenetrationstest af virksomheder og organisationer.
 

Det får du ud af penetrationtests:

I punktform er resultatet af vores cybersikkerheds-penetrationstest:

  • Påvisning af sikkerhedsbrister og sårbarheder
  • Test af relevante angrebsvektorer
  • Manuelle tests mod eksisterende sikkerhedsmekanismer
  • Rapporter med anbefalinger

Testen indeholder blandt andet:

  • Indsamling af sårbarhedsinformation (passiv og aktiv)
  • Komplet oversigt over services på systemer; klientsystemer- såvel som i serversystemer
  • Identificering af sårbarheder (for eksempel manglende patches, manglende/forkerte konfigurationer, svage kodeord osv.)
  • Penetration af services og systemer / udnyttelse af sårbarheder dybere informationsindsamling
  • Kompromittering af brugere og/eller systemer
  • Eskalering af brugerrettigheder.
     

Afrapportering som kan bruges med det samme

Når penetrationstesten er tilendebragt, udarbejder vi en rapport med resultaterne. Den består af et ledelsesresumé, en operationel og en teknisk del. Rapporten indledes med et overskueligt ”executive summary”.

Vil du vide mere?
 

Forhindre finansielle omkostninger forbundet med stjålne data

Penetrationstests er med andre ord en mere omkostningseffektiv måde at fikse sikkerhedsproblemer, end efter de er blevet udnyttet af hackere.

De potentielle risici forbundet med indbrud og mistet kontrol med data er blevet endnu vigtigere i forbindelse med EU's nye lov om persondata. Herhjemme er den kendt som persondataforordningen eller under forkortelsen GDPR (General Data Protection Regulation).  

GDPR udvider lovgivning om personfølsomme data såsom navn, adresse, finansielle informationer, mv. Virksomheder og organisationer bliver påbudt en række nye compliance-krav, der blandt andet indvirker måden data indsamles, gemmes, tilgås og deles. Overtrædelse af GDPR kan lede til heftige bødestraffe og i særlige tilfælde til straffesager.

Vi tilbyder en række services i forbindelse med GDPR. Det inkluderer analyse af GDPR-compliance. Samtidig er penetrationstests en glimrende måde at teste, om virksomheder og organisationer lever op til compliance-kravene. Kontakt os for at høre nærmere.


White hat hackere vs. black hat hackere

Der kan eksistere nogen forvirring om, hvad der adskiller forskellige grupper af hackere. Generelt siges det, at hackere kan underopdeles i tre forskellige grupper.

White hat hackere anvender et udvalg af hackermetoder til at forsøge at bryde ind i computernetværk og –systemer for at teste og forbedre sikkerheden. Angrebene sker altid på lovlig manér, og kun efter nærmere aftale og tilladelse fra den pågældende organisation eller virksomhed.

White hats modsætning er de såkaldte black hat hackere. Termen dækker hackere som forsøger at bryde ind i virksomheder og organisationers IT-systemer med et ondsindet formål. Det kan være at stjæle informationer, destruere data, cyberspionage eller for økonomisk vinding.

Imellem de to grupper findes grey hat hackere. En black hat hacker kompromitterer computersystemer uden tilladelse, og stjæler data for personlig vinding, eller ødelægger systemerne. En white hat hacker beder om tilladelse, inden vedkomne tester systemets sikkerhed og advarer organisationen om potentielle sårbarheder i deres forsvar.

En grey hat hacker vil i stedet forsøge at kompromittere et computersystem uden først at informere eller indhente tilladelse fra den pågældende organisation. Efter angrebet vil vedkomne gøre organisationen opmærksom på de sårbarheder, der er fundet og lade dem løse problemet. Mens grey hat hackeren ikke bruger sin adgang til at ødelægge eller stjæle data, kompromitterer de sikkerhedssystemer uden tilladelse, hvilket er ulovligt.
 

Modenhed i cybersikkerhed bestemmer angrebsformen

Mens white hack hackere kan udfordre din organisations IT-sikkerhed og cybersikkerhed, så kan også være værd at overveje, om der er behov for en bredere, mere dybdegående test af hele organisationens sikkerhedssetup. Det gælder specielt, hvis du vurderer, at din organisation eller virksomhed har et modent forsvar mod cyberkriminelle og hackere.

Her tilbyder vores cybersikkerhedsafdeling en række simulationsøvelser, hvor en aktiv, fleksibel og teknisk dygtig angriber forsøger at kompromittere organisationen ved hjælp af alle tænkelige midler. Målet kan være at tiltvinge sig adgang til fortrolige data eller information over en længere periode.

Services som wargames og red teaming adskiller sig fra penetrationstests ved, at de ikke kun målretter mod systemer, men også udfordrer medarbejdere og processer, der understøtter organisationens daglige drift. Formålet er at evaluere en organisations beredskab til at opdage og reagere på en aktiv modstander.

Kontakt os for at høre mere om vores forskellige services og løsninger og for en uformel samtale om, hvad for løsninger passer bedst til netop din organisation.
 

Kontakt os for en uforpligtende snak

Sikkerhedskode:
Retype the numbers below:
 Security code

Næste:

Kontakt os

Mikkel Jon Larssen, Partner, chef for Risk Assurance
Mikkel Jon Larssen
Partner, chef for Risk Assurance
København
Relaterede publikationer
Cybersikkerhed 2020
Publikation:
Cybersikkerhed i 2020
Se alle publikationer