Offensiv sikkerhet

Penetrasjonstesting — Finn sårbarhetene før angriperne

Rating: 5
Author: Magnus Norman

Det du ikke vet om sårbarhetene dine, vet angriperne. Opsios sertifiserte etiske hackere utfører penetrasjonstesting av webapplikasjoner, API-er, skymiljøer og infrastruktur med OWASP- og PTES-metodikk — og gir deg en handlingsplan for å lukke hullene.

Få et pentest-tilbud Se hva som er inkludert

Over 100 organisasjoner i 6 land stoler på oss

OSCP

Sertifiserte testere

500+

Tester gjennomført

OWASP

Metodikk

72t

Rapportlevering

OSCP

OWASP

PTES

Burp Suite

Kali Linux

CREST

Hva er Penetrasjonstesting?

Penetrasjonstesting er en kontrollert sikkerhetsvurdering der sertifiserte etiske hackere simulerer virkelige angrep mot applikasjoner, infrastruktur og skymiljøer for å avdekke utnyttbare sårbarheter før ondsinnede aktører gjør det.

Hvorfor du trenger Penetrasjonstesting

Sårbarhetsskannere finner kjente problemer, men de finner ikke de kreative angrepsvektorene som ekte hackere bruker. Penetrasjonstesting simulerer virkelige angrep mot dine systemer med sertifiserte sikkerhetstestere som tenker som angriperne — og kombinerer automatiserte verktøy med manuell testing, forretningslogikktesting og eskalering av tilganger. Norske virksomheter innen finans, energi og helse er stadig oftere mål for avanserte angrep, og NIS2-direktivet krever regelmessig sikkerhetstesting. Opsios penetrasjonstesting dekker hele angrepsflaten: webapplikasjoner mot OWASP Top 10, API-er (REST og GraphQL), mobile applikasjoner, skyinfrastruktur (AWS, Azure, GCP), intern og ekstern nettverksinfrastruktur, og trådløse nettverk. Testene utføres av OSCP-, CEH- og CREST-sertifiserte testere som bruker Burp Suite Professional, Metasploit, Nmap, BloodHound og skreddersydde verktøy.

Uten regelmessig penetrasjonstesting opererer organisasjoner med falsk trygghet. Sårbarhetsskannere dekker bare kjente CVE-er og standardfeilkonfigurasjoner — de finner ikke forretningslogikkfeil, kjedede sårbarheter som hver for seg ser ufarlige ut men sammen gir full tilgang, eller feilkonfigurasjoner som bare en erfaren tester oppdager. Gjennomsnittlig tid til oppdagelse av et innbrudd er 204 dager — penetrasjonstesting finner hullene før angriperne gjør det.

Hvert penetrasjonstestingsoppdrag inkluderer scopedefinering og regler for engasjement, automatisert og manuell testing, forsøk på utnyttelse av oppdagede sårbarheter, dokumentasjon med PoC-bevis, risikovurdering og prioritering, detaljert utbedringsguide med kodeeksempler, og en verifiseringstest etter utbedring for å bekrefte at sårbarhetene er lukket.

Vanlige penetrasjonstestingsutfordringer vi løser: webapplikasjoner med autentiserings- og autorisasjonsfeil, API-er som eksponerer mer data enn tiltenkt, skymiljøer med eskaleringsveier fra begrenset til administratortilgang, interne nettverk der én kompromittert maskin gir tilgang til alt, og trådløse nettverk med svake protokoller. Kjenner du deg igjen, er det på tide med en pentest.

Opsios penetrasjonstesting følger PTES (Penetration Testing Execution Standard) og OWASP Testing Guide. Vi leverer detaljerte rapporter som tilfredsstiller kravene fra Datatilsynet, NSM og NIS2-direktivet om regelmessig sikkerhetstesting. Enten du trenger en engangstest før produksjonslansering eller et løpende testprogram med kvartalsvise tester, gir Opsio den offensive sikkerhetsekspertisen som avdekker reelle risikoer — ikke bare en liste over CVE-er fra en skanner.

WebapplikasjonstestingOffensiv sikkerhet

API-sikkerhetstestingOffensiv sikkerhet

Skyinfrastruktur-pentestOffensiv sikkerhet

Nettverks-penetrasjonstestingOffensiv sikkerhet

Sosial manipulasjonstestingOffensiv sikkerhet

UtbedringsverifiseringOffensiv sikkerhet

OSCPOffensiv sikkerhet

OWASPOffensiv sikkerhet

PTESOffensiv sikkerhet

WebapplikasjonstestingOffensiv sikkerhet

API-sikkerhetstestingOffensiv sikkerhet

Skyinfrastruktur-pentestOffensiv sikkerhet

Nettverks-penetrasjonstestingOffensiv sikkerhet

Sosial manipulasjonstestingOffensiv sikkerhet

UtbedringsverifiseringOffensiv sikkerhet

OSCPOffensiv sikkerhet

OWASPOffensiv sikkerhet

PTESOffensiv sikkerhet

Slik sammenligner vi oss

Evne	Sårbarhetsskanner	Generisk pentest-firma	Opsio Pentest
Testmetodikk	Automatisert CVE-skanning	Varierer, ofte skannerbasert	OWASP + PTES manuell testing
Forretningslogikktesting	Ikke mulig	Begrenset	Grundig manuell testing
Skyspesifikk testing	Grunnleggende sjekker	Sjelden tilgjengelig	AWS, Azure, GCP spesialisert
Rapportkvalitet	Automatgenerert	Varierer sterkt	PoC + utbedringsguide
Verifiseringstest	Ikke tilgjengelig	Ofte tilleggskostnad	Inkludert i prisen
NIS2-samsvar	Delvis	Varierer	Full dokumentasjon
Typisk kostnad	$1–5K/år (verktøylisens)	$5–15K per test	$8–30K per test (inkl. retest)

Dette leverer vi

Webapplikasjonstesting

Grundig testing av webapplikasjoner mot OWASP Top 10: injeksjon, ødelagt autentisering, sensitive dataeksponering, XXE, ødelagt tilgangskontroll, feilkonfigurasjon, XSS, usikker deserialisering, sårbare komponenter og utilstrekkelig logging. Manuell forretningslogikktesting utover automatiserte skannere.

API-sikkerhetstesting

Testing av REST- og GraphQL-API-er for autentiserings- og autorisasjonssvakheter, overdreven dataeksponering, BOLA/IDOR-sårbarheter, rate limiting-mangler, injeksjonsangrep og utilstrekkelig inputvalidering. Inkluderer testing av API-nøkkelhåndtering og OAuth/JWT-implementasjoner.

Skyinfrastruktur-pentest

Sikkerhetstesting av AWS-, Azure- og GCP-miljøer: IAM-eskaleringsveier, feilkonfigurerte tjenester, nettverkssegmenteringshull, hemmeligheter i metadata-tjenester, og krysskontotilgang. Vi simulerer en angriper med begrenset initial tilgang og forsøker å eskalere til full kontroll.

Nettverks-penetrasjonstesting

Intern og ekstern nettverkstesting: portskanning, tjeneste-enumerering, sårbarhetsutnyttelse, lateral bevegelse, Active Directory-angrep med BloodHound, passord-spraying, NTLM-relay og eskalering til domeneadministrator. Gir et realistisk bilde av hva en angriper kan oppnå.

Sosial manipulasjonstesting

Phishing-kampanjer, pretexting og fysisk sikkerhetstesting for å evaluere den menneskelige faktoren. Vi måler klikkrate, rapporteringsrate og tid til rapportering, og gir anbefalinger for sikkerhetsopplæring basert på reelle resultater.

Utbedringsverifisering

Etter at du har utbedret funnene, kjører vi en ny målrettet test for å bekrefte at sårbarhetene faktisk er lukket og at utbedringene ikke har introdusert nye problemer. Inkludert i alle penetrasjonstestingsoppdrag.

Klare til å komme i gang?

Få et pentest-tilbud

Dette får dere

Scopedefinering og regler for engasjement

Automatisert sårbarhetsskanning med flere verktøy

Grundig manuell penetrasjonstesting

Forsøk på utnyttelse av alle oppdagede sårbarheter

Rapport med ledelsessammendrag og tekniske funn med PoC

Risikovurdering med CVSS-score for hvert funn

Prioritert utbedringsplan med kodeeksempler

Verifiseringstest etter utbedring inkludert

Gjennomgangssamtale med teknisk team

Etterlevelsesdokumentasjon for NIS2, ISO 27001 og revisorer

“Opsio har vært en pålitelig partner i administrasjonen av vår skyinfrastruktur. Deres ekspertise innen sikkerhet og administrerte tjenester gir oss tilliten til å fokusere på kjernevirksomheten vår, vel vitende om at IT-miljøet vårt er i gode hender.”

Magnus Norman

IT-sjef, Löfbergs

Prisoversikt

Transparent prising. Ingen skjulte kostnader. Tilbud basert på omfang.

Webapplikasjonstest

$8 000–$20 000

Per applikasjon

Mest populær

Skyinfrastrukturtest

$10 000–$25 000

Per miljø

Nettverkspenetrasjonstest

$10 000–$30 000

Intern + ekstern

Transparent prising. Ingen skjulte kostnader. Tilbud basert på omfang.

Spørsmål om prising? La oss diskutere deres spesifikke behov.

Be om tilbud

Derfor velger bedrifter Opsio

Sertifiserte testere

OSCP-, CEH- og CREST-sertifiserte testere med erfaring fra hundrevis av penetrasjonstester på tvers av bransjer.

Manuell testing, ikke bare skanning

Vi kombinerer automatiserte verktøy med grundig manuell testing og forretningslogikktesting.

Handlingsrettede rapporter

Detaljerte funn med PoC, risikovurdering, utbedringsguide med kodeeksempler og prioritering.

Flerskydekning

Spesialisert penetrasjonstesting for AWS, Azure og GCP-miljøer — ikke bare tradisjonell nettverkstest.

Verifiseringstest inkludert

Gratis ny test etter utbedring for å bekrefte at sårbarhetene er lukket.

NIS2- og Datatilsynet-kompatibel

Rapporter tilfredsstiller dokumentasjonskravene fra NIS2, Datatilsynet og ISO 27001-revisjoner.

Ikke sikker ennå? Start med en pilot.

Begynn med en fokusert to-ukers vurdering. Se reelle resultater før dere forplikter dere. Hvis dere går videre, krediteres pilotkostnaden mot prosjektet.

Start en pilot

Vår leveranseprosess

Scopedefinering

Definerer testomfang, mål, regler for engasjement, testvindu og kommunikasjonsplan. Identifiserer kritiske systemer og sensitive data. Tidslinje: 2–3 dager.

Testing og utnyttelse

Automatisert skanning etterfulgt av grundig manuell testing, sårbarhetsutnyttelse og eskaleringsforøk. Testing gjennomføres innenfor avtalt testvindu. Tidslinje: 1–3 uker.

Rapportering

Detaljert rapport med sammendrag for ledelsen, tekniske funn med PoC, risikovurdering og prioritert utbedringsplan. Leveranse innen 72 timer etter testens slutt. Tidslinje: 3–5 dager.

Utbedring og verifisering

Støtte under utbedring med rådgivning, etterfulgt av verifiseringstest for å bekrefte at alle kritiske og høyrisikosfunn er lukket. Tidslinje: 2–4 uker.

Oppsummering

Webapplikasjonstesting
API-sikkerhetstesting
Skyinfrastruktur-pentest
Nettverks-penetrasjonstesting
Sosial manipulasjonstesting

Bransjer vi betjener

Finans

PCI DSS- og DORA-påkrevd penetrasjonstesting av betalingsapplikasjoner og bankinfrastruktur.

Energi og olje og gass

NIS2-samsvarende sikkerhetstesting av OT/IT-konvergenspunkter og SCADA-systemer.

Helse

Testing av systemer som behandler pasientdata for å beskytte sensitiv helseinformasjon.

Offentlig sektor

Penetrasjonstesting av offentlige digitale tjenester og interne systemer etter NSM-anbefalinger.

Utforsk mer

Vulnerability Assessment

Security & Compliance — Security

Load Testing

Security & Compliance — Security

Penetrasjonstesting — Finn sårbarhetene før angriperne — Ofte stilte spørsmål

Hva er penetrasjonstesting?

Penetrasjonstesting er en kontrollert sikkerhetsvurdering der sertifiserte etiske hackere simulerer virkelige angrep mot dine systemer for å finne utnyttbare sårbarheter før ondsinnede aktører gjør det. I motsetning til sårbarhetsskanning, som kjører automatiserte verktøy for å finne kjente problemer, involverer penetrasjonstesting manuell testing, kreativ angrepskjeding og forsøk på å utnytte funn for å demonstrere reell forretningsrisiko. Resultatet er en handlingsrettet rapport med konkrete utbedringsanbefalinger.

Hva koster penetrasjonstesting?

Penetrasjonstestingspriser avhenger av omfang og kompleksitet. En webapplikasjonstest koster typisk $8 000–$20 000. API-testing koster $5 000–$15 000. Skyinfrastrukturtest koster $10 000–$25 000. Intern nettverkstest koster $10 000–$30 000. Kombinert testing med rabatt tilgjengelig. Verifiseringstest etter utbedring er inkludert i alle priser. Årlige testprogrammer med kvartalsvise tester gir 15–20 % rabatt sammenlignet med enkelttester.

Hvor lang tid tar en penetrasjonstest?

En typisk webapplikasjonstest tar 1–2 uker. API-testing tar 1 uke. Skyinfrastrukturtest tar 1–2 uker. Intern nettverkstest tar 1–3 uker avhengig av nettverkets størrelse. Rapporten leveres innen 72 timer etter testens slutt. Hele prosessen fra scopedefinering til ferdig rapport tar typisk 3–5 uker. For akutte behov kan vi tilby ekspresservice med oppstart innen 48 timer.

Hva er forskjellen mellom penetrasjonstesting og sårbarhetsskanning?

Sårbarhetsskanning kjører automatiserte verktøy som finner kjente sårbarheter basert på en database med CVE-er. Penetrasjonstesting går mye lenger — sertifiserte testere prøver å utnytte sårbarhetene, kjeder flere småfunn sammen til reelle angrepskjeder, tester forretningslogikk manuelt og demonstrerer faktisk forretningsrisiko. Skanning finner at en dør er ulåst; penetrasjonstesting går inn og viser hva en angriper kan ta med seg.

Er penetrasjonstesting trygt for produksjonsmiljøer?

Ja, med riktige forholdsregler. Vi definerer klare regler for engasjement, unngår destruktive tester i produksjon, kjører testing i avtalte tidsvinduer, og har en direkte kommunikasjonslinje med ditt team under hele testen. Vi har gjennomført over 500 tester uten utilsiktede driftsforstyrrelser. For spesielt sensitive miljøer kan vi teste mot staging-miljøer som speiler produksjon.

Hvilke sertifiseringer har testerne deres?

Våre testere holder OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), CREST CRT/CCT, GPEN (GIAC Penetration Tester) og AWS/Azure Security Specialty-sertifiseringer. Sertifiseringer alene er ikke nok — alle testere har minst 3 års praktisk erfaring med penetrasjonstesting og deltar i kontinuerlig kompetanseutvikling gjennom CTF-konkurranser og forskningsprosjekter.

Hvordan rapporteres funnene?

Rapporten inneholder tre deler: et sammendrag for ledelsen med overordnet risikovurdering, detaljerte tekniske funn med PoC-bevis, skjermbilder og trinnvise utbedringsinstruksjoner, og en prioritert handlingsplan sortert etter risiko. Hvert funn klassifiseres som kritisk, høy, middels eller lav risiko med CVSS-score. Rapporten oppfyller dokumentasjonskravene fra ISO 27001, NIS2 og Datatilsynet.

Trenger vi penetrasjonstesting hvis vi allerede bruker sårbarhetsskanner?

Ja. Sårbarhetsskannere dekker bare en brøkdel av det en penetrasjonstest finner. Skannere finner ikke forretningslogikkfeil, autorisasjonssvakheter der bruker A kan se bruker Bs data, kjedede sårbarheter som gir full tilgang, eller feilkonfigurasjoner i skyinfrastruktur. I våre tester finner vi gjennomsnittlig 30–40 % flere kritiske og høyrisikofunn enn det sårbarhetsskannere rapporterer.

Hvor ofte bør vi gjennomføre penetrasjonstesting?

Minimum én gang i året for alle systemer, og etter større endringer som nye applikasjoner, skymigrasjoner eller store arkitekturendringer. NIS2-direktivet krever regelmessig sikkerhetstesting for vesentlige og viktige enheter. PCI DSS krever årlig pentest og kvartalsvis ASV-skanning. Vi anbefaler kvartalsvise tester for høyrisikosystemer og årlige tester for øvrige systemer.

Hva skjer etter at penetrasjonstesten er ferdig?

Du mottar rapporten innen 72 timer med en gjennomgangssamtale der vi forklarer funnene og svarer på spørsmål. Deretter har du typisk 2–4 uker til å utbedre funnene, med veiledning fra vårt team ved behov. Etter utbedring kjører vi en verifiseringstest for å bekrefte at sårbarhetene er lukket. Vi kan også hjelpe med å sette opp et løpende testprogram og prioritere sikkerhetsinvesteringene dine basert på reelle risikoer.

Har du flere spørsmål? Teamet vårt hjelper deg gjerne.

Få et pentest-tilbud

Editorial standards: Written by certified cloud practitioners. Peer-reviewed by our engineering team. Updated quarterly.