Penetrationstest og sikkerhedsanalyse - etisk hacking og sårbarhedsscanning
avanceret

Penetrationstest

Forstå hvordan penetrationstest simulerer cyberangreb for at identificere sårbarheder, inden rigtige angribere udnytter dem.

En penetrationstest (pentest) er en autoriseret, simuleret cyberangreb mod et computersystem, netværk eller webapplikation, udført for at identificere sikkerhedssårbarheder, der kunne udnyttes af ondsindede aktører.

Typer af penetrationstest

Black box: Testeren har ingen forudgående viden om målet, simulerer en ekstern angriber. Mest realistisk, men tidskrævende.

White box: Testeren har fuld adgang til kildekode, arkitektur og dokumentation. Giver den mest grundige test af specifikke komponenter.

Gray box: Testeren har delvis information, f.eks. brugerkonti eller netværksdiagrammer. Simulerer en insider-trussel eller en angriber med noget rekognoscering.

Pentestens faser

1. Planlægning og rekognoscering

Definer scope, mål og regler (Rules of Engagement). Indsaml information om målet: domæner, IP-adresser, medarbejdere, teknologier.

2. Scanning og enumeration

Brug automatiserede værktøjer (Nmap, Nessus, Burp Suite) til at identificere åbne porte, tjenester, versioner og potentielle sårbarheder.

3. Adgangsforsøg (Exploitation)

Forsøg at udnytte identificerede sårbarheder: SQL injection, authentication bypass, privilege escalation, buffer overflows og lignende.

4. Post-exploitation

Undersøg hvad en angriber kan opnå efter initial adgang: lateral bevægelse, privilegieeskalering, dataeksfiltrering og persistens.

5. Rapportering

Udarbejd en detaljeret rapport med:

  • Executive summary til ledelsen
  • Tekniske fund med risikovurdering (CVSS-scoring)
  • Proof of concept for udnyttede sårbarheder
  • Prioriterede anbefalinger til udbedring

Lovlige rammer i Danmark

Penetrationstest SKAL altid udføres med skriftlig tilladelse fra systemejeren. Uautoriseret test er strafbart under straffelovens paragraf 263 (hacking) og kan medføre op til 6 års fængsel.

Professionelle pentest-leverandører i Danmark bør være certificerede (OSCP, CREST, CEH) og følge anerkendte standarder som PTES (Penetration Testing Execution Standard) eller OWASP Testing Guide.

Pentest og compliance

Under NIS2-direktivet forventes væsentlige enheder at gennemføre regelmæssige penetrationstest som en del af deres risikostyring. ISO 27001 Annex A inkluderer ligeledes krav om teknisk sårbarhedsgennemgang.

Relateret indhold

CIS ControlsMalwareFirewall

Andre guides

Sikkerhedspolitik

Lær hvordan du udarbejder en effektiv informationssikkerhedspolitik, der danner grundlag for organisationens cybersikkerhed.

Incident Response

En struktureret guide til at håndtere cybersikkerhedshændelser effektivt, fra detektion til genopretning.

Awareness-træning

Sådan opbygger du et effektivt sikkerhedsbevidsthedsprogram, der gør medarbejderne til den stærkeste sikkerhedsbarriere.