Pentester

Hitta sårbarheterna innan andra hinner före

”Information about technical vulnerabilities of information
systems being used shall be obtained in
a timely fashion, the organization’s exposure to such vulnerabilities evaluated, and appropriate measures taken to address the associated risk.”

Annex A of
ISO 27001:2013

Varför penetrationstester?

Penetrationstester är en teknisk kontroll som visar behovet av informationssäkerhet. Det är ett sätt att mäta hur motståndskraftig er IT-infrastruktur är emot cyberattacker. Med regelbundna penetrationstester, eller pentester som de även kallas, uppfyller ni kraven enligt tex. ISO 27 001, PCI DSS, PSD2 m.fl.

Penetration testing supervising

Hur görs en penetrationstest?

I en penetrationstest simuleras hur en cyberattack kan gå till väga. Det finns i huvudsak tre olika tillvägagångssätt. Black- white- och grey-box test.

I s.k. Black-box test har penetrationstestarna ingen insiderinformation om systemen.

En White-box testning är motsatsen till en black-box testning. Här har pentestarna närmast full insyn i systemen med ip-adresser, applikationer, nätverksprotokoll, källkod mm.

En grey-box testning är då följaktligen ett mellanting mellan black- och white-box tester.

Penetration testing workflow

OWASP

Open Web Application Security Project – OWASP – är en ideell organisation som arbetar för säkrare mjukvara. OWASP har tagit fram verktyg och guider för hur penetrationstester ska genomföras. Några av dessa är:

  • OWASP Testing Guide v4
  • OWASP Risk Rating Methodology
  • Common Vulnerability Scoring System
  • Open Source Security Testing Methodology Manual

OWASP är en standard för utvecklare och webbapplikationssäkerhet. OWASP representerar en konsensus inom industrin om vilka de största säkerhetsriskerna för webbapplikationer är. De publicerar årligen OWASP topp-10 listan.

Proaktivt säkerhetsarbete som följer deras standard minskar dramatiskt riskerna för cyberattacker.

Metodik

1

Rekognoscering

Samla in information från online och från kunden för att verksamhetsanpassa testet.

2

Utvärdera och analysera

Identifiera affärskritiska applikationer och sidor för att utföra sårbarhetsanalyser. Analysera och eliminera eventuella felsvar.

3

Exploatera säkerhetshål

Exploatera och ta sig in. Använda olika metoder för att testa sårbarheterna som upptäckts i tidigare steg. Utnyttja säkerhetshål som upptäckts för att göra intrång i systemen.

4

Uthåll. och Eskalering

Attackera och etablera kontroll i systemen. Testa uthålligheten mot attacker och fortsätta djupare in i servrar som AD, mejlservrar m.fl.

5

Agil rapporteringscykel

Målet med en agil rapporteringscykel är att minimera tiden mellan upptäckt och åtgärd. Till skillnad från traditionell rapportering som oftast sker efter specialisternas arbete slutförts.

6

Verifikation

I verifikationsfasen kontrolleras att de funna säkerhetsbristerna har åtgärdats.

Varför eBuilder Security

20 år med säkra SaaS lösningar

eBuilder Security är en del av eBuilderkoncernen. eBuilder har genom åren varit en trogen partner till såväl svenska offentliga organisationer, som stora globala organisationer. Bland dem återfinns FMV, Västra Götalandsregionen, globala mobiltelefontillverkare samt svenska och amerikanska banker.

Cybersäkerhet högsta prioritet

För oss är cybersäkerhet en del av vilka vi är. Våra kunder ställer väldigt höga krav på cybersäkerhet. Det gör att vi alltid tvingats ligga i framkant av vad marknaden kräver. Dessa erfarenheter kommer alla våra kunder tillgodo.

Säkerhetsklassade datacenter

eBuilder Securitys använder säkerhetsklassade datacenter, med säkerhetsklassad personal, för all lagring av data. Datacentret är baserat i Stockholm och skyddas av den svenska berggrunden. Våra kunders data befinner sig alltid i trygga händer.

ISO 27001

eBuilder Security är certifierade enligt ISO 27001 – den högsta standarden för informationssäkerhet.

7000
Total Scans Performed
37000
Vulnerabilities found
13700
High Severity Vulnerabilities found
12400
Medium SEVERITY VULNERABILITIES FOUND
Click to access the login or register cheese