Guide: Slik blir dere klare for pentesting

Hvorfor forberedelsene er halve suksessen

Dere har bestemt dere: Bedriften skal gjennomføre en penetrasjonstest (pentesting). Gratulerer! Det er et viktig skritt for å ta kontroll over cybersikkerheten.

Men her er en ubehagelig sannhet mange oppdager for sent: En dårlig forberedt penetrasjonstest kaster bort både tid, penger og muligheter.

Vi har sett det flere ganger:

• IT-teamet blir overrumplet fordi ingen forberedte dem
• Kritiske systemer går ned fordi ingen tok backup
• Testteamet sitter fast fordi de ikke får tilgang til det de trenger
• Rapporten blir liggende fordi ingen har planlagt for oppfølging
• Dyrebare funn blir ikke fikset fordi budsjettet allerede er brukt opp

Det trenger ikke være slik.

Med riktig forberedelse blir pentesten en smidig prosess som gir maksimal verdi uten unødvendige forstyrrelser. Denne guiden tar deg gjennom alt du trenger å gjøre – fra beslutningen er tatt til rapporten ligger på bordet.

Del 1: Før dere signerer kontrakt

1.1 Få ledelsesforankring og mandat

Hvorfor dette er kritisk: En penetrasjonstest vil avsløre sårbarheter. Noen av dem kan være alvorlige. Og å fikse dem vil koste penger, tid og ressurser. Uten klar forankring fra ledelsen, risikerer dere at rapporten bare blir liggende.

Hva dere trenger:

✓ Godkjenning fra daglig leder eller styret

• Skriftlig mandat til å gjennomføre testen
• Buy-in på at funn faktisk skal følges opp
• Forståelse for at testen kan avdekke ubehagelige sannheter

✓ Budsjett for oppfølging Det holder ikke å bare budsjettere for selve testen. Dere trenger også:

• Budsjett for å fikse det som finnes (regel: 2-5x testbudsjettet)
• Tid fra IT-teamet til oppfølging
• Eventuelt ekstern hjelp til utbedring

✓ Kommunikasjonsplan Hvem skal informeres om hva, når og hvordan?

• Før testen: Hvem må vite at den kommer?
• Under testen: Hvem kontaktes ved spørsmål?
• Etter testen: Hvordan presenteres funn for styret/ledelsen?

1.2 Definer klart scope og mål for pentesting

Hva skal testes?

Vær så konkret som mulig. Skriv det ned. Jo tydeligere scope, jo bedre resultat.

Eksempel på godt definert scope:

INKLUDERT I TEST:

• Ekstern webapplikasjon: portal.bedriftnavn.no (IP: xxx.xxx.xxx.xxx)
• VPN-løsning: vpn.bedriftnavn.no
• E-postserver: mail.bedriftnavn.no
• Kundeportal: kunde.bedriftnavn.no
• Internt nettverk: VLAN 10-15 (10.0.10.0/24 – 10.0.15.0/24)
• Azure-miljø: Subscription «Production»

EKSKLUDERT FRA TEST:

• Produksjonsservere i VLAN 20 (pågående kritisk produksjon)
• Testsystemer (development.bedriftnavn.no)
• Tredjepartssystemer hostet eksternt
• Fysiske angrep på datarom

TIDSVINDU:

• Ekstern testing: Når som helst 24/7
• Intern testing: Mandag-fredag 08:00-16:00
• IKKE testing: 24-26. desember (julehelg)

Hva er målene deres?

Ulike mål krever ulike tilnærminger:

Mål	Tilnærming
Compliance (oppfylle PCI DSS / NIS2)	White box, dokumentert metodikk
Virkelighetsnær test av beredskap	Black box, ingen forhåndsvarsling
Maksimal dekning av sårbarheter	Grey box, flere uker testing
Teste SOC-overvåking	Koordinert med SOC-team
Forberede for regulatorisk revisjon	Følge spesifikk standard

Sjekkliste før scope er ferdig:

•  Er alle IP-adresser/domener dokumentert?
•  Er ekskluderinger tydelig definert?
•  Er tidsvindu for testing spesifisert?
•  Er kritiske perioder (månedsavslutning, kampanjer) identifisert?
•  Vet vi hvilke systemer som er mest kritiske?
•  Er compliance-krav kartlagt?
•  Har vi definert hva som regnes som «suksess»?

Les også: Hvorfor penetrasjonstesting er et av de viktigste sikkerhetstiltakene virksomheten din kan gjøre

1.3 Velg riktig testmetodikk

Black Box Testing – «Som en ekte angriper»

Hva det er: Testteamet får ingen informasjon på forhånd. De starter akkurat som en ekte angriper ville gjort – med Google-søk og offentlig tilgjengelig informasjon.

Når dette er et godt valg:

• Dere vil teste hvor godt dere ville oppdage et reelt angrep
• Dere vil teste beredskap og respons
• Dere har modne systemer og god overvåking

Fordeler: ✓ Mest realistisk scenario ✓ Tester også deteksjon og respons ✓ Avdekker hva som faktisk er tilgjengelig for angripere

Ulemper: ✗ Tar lengre tid (mye tid går til rekognosering) ✗ Kan være mer forstyrrende ✗ Mindre dekning innen samme budsjett

Grey Box Testing – «Balansert tilnærming»

Hva det er: Testteamet får grunnleggende informasjon (IP-adresser, nettverkskart, systemliste), men ikke detaljer om konfigurasjoner eller kjente sårbarheter.

Når det er nyttig:

• De fleste situasjoner – best verdi for pengene
• Første gang dere gjør pen-testing
• Dere vil ha både realistisk test og god dekning

Fordeler: ✓ God balanse mellom realisme og effektivitet ✓ Mer grundig testing innen samme budsjett ✓ Mindre forstyrrende enn black box

Ulemper: ✗ Ikke helt realistisk (angripere må finne informasjonen selv) ✗ Tester ikke rekognoseringsfasen like godt

White Box Testing – «Full innsikt»

Hva det er: Testteamet får full tilgang til dokumentasjon, kildekode, arkitekturdiagrammer, og ofte også brukerkontoer på ulike nivåer.

Når det er riktig:

• Dere vil ha absolutt mest mulig dekning
• Compliance krever det (f.eks. PCI DSS application testing)
• Dere tester ny applikasjon før lansering
• Dere har begrenset tidsvindu

Fordeler: ✓ Maksimal dekning av sårbarheter ✓ Kan fokusere på komplekse angrepsscenarier ✓ Best for kodegjennomgang og applikasjonstesting

Ulemper: ✗ Minst realistisk ✗ Tester ikke hva angripere faktisk kan finne ✗ Mindre fokus på «low-hanging fruit»

Noe å vurdere: Start med Grey Box for ekstern testing og White Box for kritiske applikasjoner. Når dere har gjennomført én test og fikset de største hullene, kan dere gjøre mer realistisk Black Box testing neste gang. Tenker dere å styrke kulturen internt, kan en Black Box test også ha høy effekt! Så her spørs det litt på hvor dere står og hvor god oversikt dere har allerede.

1.4 Velg riktig samarbeidspartner

Ikke alle penetrasjonstestere er like. Kvaliteten varierer enormt, og konsekvensene av å velge feil kan være alvorlige.

Minimumskrav dere kan vurdere å stille:

✓ Sertifiseringer

• OSCP (Offensive Security Certified Professional)
• CREST-akkreditering eller tilsvarende
• ISO 27001-sertifisert organisasjon

✓ Erfaring

• Dokumenterte case fra lignende bedrifter (størrelse og bransje)
• Minimum 3 referanser dere kan kontakte

✓ Metodikk

• Følger anerkjente standarder (OWASP, PTES, OSSTMM)
• Tydelig beskrivelse av testprosess
• Inkluderer både automatiserte verktøy og manuell testing

✓ Forsikring og kontrakt

• Profesjonsansvarsforsikring
• NDA (taushetserklæring) som del av kontrakten
• Tydelige regler for datahåndtering og sletting etter test

✓ Rapportering

• Både teknisk rapport og executive summary
• Risikovurdering av funn (ikke bare liste over sårbarheter)
• Konkrete anbefalinger for utbedring
• Re-testing inkludert

Røde flagg – unngå leverandører som:

🚩 Lover «ingen funn» eller garanterer resultater

🚩 Kun bruker automatiske verktøy

🚩 Ikke kan forklare testmetodikk tydelig

🚩 Ikke har relevant erfaring fra din bransje/størrelse

🚩 Ikke vil gi referanser

🚩 Priser som virker for gode til å være sanne

🚩 Ikke stiller spørsmål om deres miljø og behov

Spørsmål å stille i salgsmøtet:

• «Kan dere beskrive en reell sårbarhet dere fant hos en kunde i vår bransje, og hvordan dere hjalp dem å fikse den?»
• «Hvor mange timer dedikert manuell testing inngår?»
• «Hvem konkret vil gjennomføre testen, og hva er deres erfaring?»
• «Hva skjer hvis dere ved et uhell forårsaker nedetid?»
• «Hvordan håndteres data som samles inn under testen?»
• «Hva er inkludert i rapporten, og hvordan følger dere opp?»
• «Er re-testing inkludert i prisen?»

Trenger dere hjelp?

Vi i NetNordic tilbyr ikke bare penetrasjonstesting – vi er partneren som hjelper dere gjennom hele prosessen.

Vi hjelper med:

• Definere riktig scope basert på deres modenhets og behov
• Gjennomføre testing med erfarne spesialister
• Prioritere funn og lage realistisk handlingsplan
• Implementere fikser (eller finne riktig ressurser til å gjøre det)
• Kontinuerlig oppfølging med SOC-tjenester

Book et uforpliktende planleggingsmøte

 Vi går gjennom deres situasjon og hjelper dere å definere riktig tilnærming. Kontakt oss på salg.no@netnordic.com