
Vi tester din virksomhets sikkerhet
Et stadig økende trusselbilde gir store mengder sikkerhetsutfordringer. For å beskytte virksomheten trenger man å forstå en ondsinnet aktørs adferd.
En penetrasjonstest er ikke begrenset til IT systemer, men kan gjennomføres på alle områder hvor det utgjør en risiko om uautoriserte brukere får tilgang ved å avdekke sårbarheter/sikkerhetshull med fremgangsmåter og verktøy som blir brukt av aktører med ondsinnede intensjoner.
Penetrasjonstesting er en metodikk for sikkerhetstesting, og et godt preventivt virkemiddel for å identifisere og avdekke svakheter, sårbarheter og deteksjonsevne. Testen gir en dobbeltkontroll av sikkerhetsnivået i virksomheten og konkrete, anbefalte tiltak.
Penetrasjonstest
Våre sikkerhetskonsulenter er høyt sertifisert innen faget og kan gjennomføre simulerte, manuelle og målrettede angrep for å teste virksomhetens sikkerhet. Vi bruker anerkjente rammeverk for gjennomføring av penetrasjonstester, som har som mål å øke sikkerhetsnivået til din virksomhet. Penetrasjonstesterne jobber i et virtuelt landsdekkende team og bistår virksomheter i både inn- og utland med å teste applikasjoner og systemer.
Vi jobber etter følgende metode:
- Innhenting av offentlig kjent informasjon. Passiv rekognosering
- Innhenting av informasjon fra mål. Aktiv rekognosering
- Testing, utnytting og verifisering av sårbarheter
- Utnyttelse og videre rekognosering med oppnådd tilgang
- Rapportering
Penetrasjonstest utføres etter et av følgende scenarioer:
- Whitebox: Penetrasjonstesteren har full innsikt i systemer med tilgang til kildekoder og dokumentasjon
- Greybox: Penetrasjonstesteren har tilgang til noe informasjon eller brukertilgang, men ikke alt
- Blackbox: Penetrasjonstesten blir utført som en blindtest: Penetrasjonstesteren vet ikke noe om selve målet før hen setter i gang med oppdraget.
- Fysisk tilgang: Penetrasjonstesteren tester hva hen får tilgang til om hen møter opp på virksomhetens lokasjon.
- Sosial manipulasjon: Gjennom sosial manipulasjon (også kalt social engineering) tester penetrasjonstesteren hvilken og hvor mye informasjon brukere gir fra seg, for eksempel ved bruk av phishing-eposter.
- Angrep på IT-system fra innsiden: Penetrasjonstesteren har tilgang til innsiden av kundens nettverk, enten som insider eller som en som har oppnådd fysisk tilgang.
- Angrep på IT-system fra utsiden: Alle virksomhetens tjenester som er tilgjengelig for publikum blir angrepet.