För fyra år sen skrev TechWorlds systertidning CSO Magazine om tips inför upphandling av penetrationstest. Då fick läsarna fyra tips.

Det första var att göra testet under redan schemalagda driftsstopp för att slippa problem med att system råkar tippa omkull av en skanning.

Det andra tipset var se till att testarna har telefonnumret till kundens support, ifall något mer eller mindre oväntat skulle inträffa.

Hitta tidigare intrång
Det tredje tipset 2008 var att be testarna att leta efter spår av tidigare intrång, till exempel olika bakdörrar som angripare kan ha lämnat efter sig.

Det fjärde tipset var att instruera de som gör testet att presentera resultatet i två versioner: En Powerpoint-presentation för beslutsfattare och en teknisk rapport för de som ska åtgärda felen.

Nu i höst har vi gjort en uppföljning. Alla fyra experter som vi pratade med den här gången upprepade det fjärde tipset, så det är väl något många där ute ännu inte fått kläm på. Experternas nya råd utmynnade i en lista i fem steg. Följ dem så får du rätt test och rätt resultat!

Vad är ett pen-test?

Ett penetrationstest, eller pen-test som det kallas i branschen, är ett simulerat hackerangrepp. Testet är oftast inriktat på att upptäcka sårbarheter från utsidan, framförallt vad det gäller så kallade black box-test, i vilket den som låtsas vara angripare inte vet något om systemet annat än var det finns.

Alternativet är ett så kallat white box-test där testaren får fri tillgång till dokumentation av systemet. Det här sparar dels tid, dels ökar det sannolikheten att även säkerhetsbrister som går att utnyttja från insidan upptäcks. Och det lär visa sig att det inte så stor skillnad på insida och utsida av ett nätverk som vi helst vill tro, och en gammal sanning är att de flesta angrepp visserligen sker utifrån, men de farligaste kommer inifrån.

Steg 1: Välj omfattning


Alla experter vi pratade med var skönt överens om att du först måste bestämma dig för omfattningen av testet.

Det finns två huvudsakliga testmetoder. En kallas white box och innebär att angriparen får full insyn, med nätverkskartor, specifikationer och övrig dokumentation.


Robin Blokker, FRA.

Den andra metoden kallas black box och ligger närmare hur en verklig angripare arbetar från utsidan. Robin Blokker på FRA menar att white box är bättre.

– Jag tror att black box, även om det låter väldigt romantiskt att agera som hacker rakt av, är alldeles för dyrt. Det är fullständigt slöseri med både pengar och tid. En verklig angripare har med all sannolikhet obegränsat med tid. Han kan sitta och kartlägga och skanna dig i åratal, medan du som är säkerhetskonsult kanske har maximalt ett par veckor på dig att genomföra ett jobb, sedan är det slut. Folk är inte villiga att betala vad ett black box-test egentligen skulle kosta. Ge i stället de som ska utföra pen-testet allt de behöver, så att de kan täcka så mycket yta som möjligt, säger Robin Blokker.

Vissa tester granskar bara systemen, andra granskar även kommunikationen in och ut ur organisationen. I det senare fallet gäller det att veta vad som tillhör normalbilden och vad som är avvikelser.


Anders Söderström, Sentor.

Andra frågor att ta ställning till är om testarna ska få använda social engineering, det vill säga få försöka lura ut känslig information från dina anställda och konsulter, och om den egna personalen ska veta att ett simulerat angrepp sker eller inte. Detta bör utmynna i en mycket tydlig kravspecifikation på själva penetrationstestet.

Anders Söderström, vd på it-säkerhetsföretaget Sentor, nämner att en metod är att sätta upp ett specifikt mål i form av speciell information som ska röjas eller ett specifikt delsystem som angriparen ska ta kontroll över. Generellt rekommenderar han white box-tester.

– De är mer kostnadseffektiva, men i vissa fall vill du kanske testa vad en angripare skulle kunna åstadkomma utan någon information, det vill säga efterlikna en verklig attack. Eventuella webbapplikationer bör ingå i testerna eftersom dessa i dag ofta ger en väg in till nätverk, system och känslig information. De tar dock generellt längre tid att testa än övriga nätverk och system, säger Anders Söder­ström.

Tre dagar räcker
Fredrik Ljunggren, konsult på it-säkerhetsföretaget Kirei, menar också han att det är viktigt att hushålla med resurserna.

– Två eller tre dagar är rätt normalt för att testa till exempel ett vanligt e-handelsföretag. En dag för att träffa kunden, en dag för att göra själva testet och sedan en dag för att skriva rapporten. Ofta går det att hitta brister redan på pappersstadiet.

Steg 2: Hitta en bra testare


På den här punkten är experterna helt eniga om att det finns många oseriösa aktörer att undvika, och att det bästa är att höra sig för bland tekniker i branschen om vilka testare som gjort ett bra jobb.


Fredrik Ljunggren, Kirei.

– Det finns en hel del som utför den här typen av tjänster som kanske inte borde göra det. De kör bara några automatiserade verktyg, men det krävs mer kompetens och mer ansträngning än så. Det går inte att helt och hållet automatisera saker. Den som testar måste vara beredd på att förstå och utnyttja oväntade svar, säger Fredrik Ljunggren.

– Ibland är det inte heller meningsfullt att fullfölja ett penetrationstest. Det räcker ofta att visa brister som går att utnyttja. Det är ingen idé att lägga en hel dag på att skicka upp någon specialskriven kod för att ta över en server. Det hade säkert en riktig angripare gjort, men det räcker att konstatera att konfigurationen inte är rätt gjord.

På den mörka sidan
Anne-Marie Eklund-Löwinder, säkerhetschef på .SE, understryker att det är viktigt att de som utför själva testet både är erfarna och har koll på de senaste hackerverktygen, sårbarheterna och trenderna på den mörka sidan.

– Välj leverantörer med dokumenterad erfarenhet, och som är beredda att redogöra för sina metoder. Och be inte bara om referenser, utan kontakta också referenterna och hör vilka erfarenheter de har av leverantören. Se också till att testarna skriver under ett sekretessavtal, helst med ett saftigt vite om något läcker ut, säger hon.

Våra experter på FRA, Kirei och Sentor rekommenderar föga förvånande sig själva. Andra namn som nämndes i positiva ordalag under intervjuerna var Bitsec, Cybercom och Romab.

Särskilda regler för dig?

l Regelverket pci-dss påverkar företag som hanterar kortbetalningar. Det kräver bland annat återkommande penetrationstester. l Om din organisation är viktig för rikets säkerhet bör penetrationstest upphandlas som säkerhetsskyddad upphandling med säkerhetsskyddsavtal, förkortat SUA. I det ingår även planering, projektering och anbudsräkning.