Vi tester din virksomhets sikkerhet
Et stadig økende trusselbilde gir store mengder sikkerhetsutfordringer. For å beskytte virksomheten trenger man å forstå en ondsinnet aktørs adferd.
En penetrasjonstest er ikke begrenset til IT systemer, men kan gjennomføres på alle områder hvor det utgjør en risiko om uautoriserte brukere får tilgang ved å avdekke sårbarheter/sikkerhetshull med fremgangsmåter og verktøy som blir brukt av aktører med ondsinnede intensjoner.
Penetrasjonstesting er en metodikk for sikkerhetstesting, og et godt preventivt virkemiddel for å identifisere og avdekke svakheter, sårbarheter og deteksjonsevne. Testen gir en dobbeltkontroll av sikkerhetsnivået i virksomheten og konkrete, anbefalte tiltak.
Våre kompetanse
Våre sikkerhetskonsulenter er høyt sertifisert innen faget og kan gjennomføre simulerte, manuelle og målrettede angrep for å teste virksomhetens sikkerhet. Vi bruker anerkjente rammeverk for gjennomføring av penetrasjonstester, som har som mål å øke sikkerhetsnivået til din virksomhet.
Penetrasjonstesterne jobber i et virtuelt landsdekkende team og bistår virksomheter i både inn- og utland med å teste applikasjoner og systemer.
Vi jobber etter følgende metode:
- Innhenting av offentlig kjent informasjon. Passiv rekognosering.
- Innhenting av informasjon fra mål. Aktiv rekognosering.
- Testing, utnytting og verifisering av sårbarheter.
- Utnyttelse og videre rekognosering med oppnådd tilgang.
- Rapportering.
Penetrasjonstest utføres etter et av følgende scenarioer:
Whitebox
Penetrasjonstesteren har full innsikt i systemer med tilgang til kildekoder og dokumentasjon
Greybox
Penetrasjonstesteren har tilgang til noe informasjon eller brukertilgang, men ikke alt
Blackbox
Penetrasjonstesten blir utført som en blindtest: Penetrasjonstesteren vet ikke noe om selve målet før hen setter i gang med oppdraget.
Eksempler på hva som kan testes
- Fysisk tilgang: Penetrasjonstesteren tester hva hen får tilgang til om hen møter opp på virksomhetens lokasjon
-
Sosial manipulasjon: Gjennom sosial manipulasjon (også kalt social engineering) tester penetrasjonstesteren hvilken og hvor mye informasjon brukere gir fra seg, for eksempel ved bruk av phishing-eposter.
-
Angrep på IT-system fra innsiden: Penetrasjonstesteren har tilgang til innsiden av kundens nettverk, enten som insider eller som en som har oppnådd fysisk tilgang.
-
Angrep på IT-system fra utsiden: Alle virksomhetens tjenester som er tilgjengelig for publikum blir angrepet.
Gjennomføring av penetrasjonstest
Vi er opptatt av god dialog med deg som kunde gjennom hele perioden. Det gjelder fra fastsettelse av omfanget, gjennomførelsen og til vi overleverer rapporten.
Eksempler på angrepsflater:
- Nettverk- og serverinfrastruktur
- Webapplikasjoner
- Fysisk sikkerhet
- Social Engineering
- Trussel fra utro tjener (Insider)
