Vad ett AD-penetrationstest faktiskt innebär

Avgränsning mot sårbarhetsskanning

En vanlig missuppfattning är att en sårbarhetsskanning och ett penetrationstest är samma sak. Det är de inte. Sårbarhetsskanning (exempelvis med Nessus eller Qualys) identifierar kända brister baserat på versionsdata och signaturmatchning. Ett penetrationstest av AD går flera steg längre: en erfaren testare simulerar verkliga attackkedjor manuellt, eskalerar behörigheter steg för steg och dokumenterar hela vägen från initial åtkomst till domändominans.

Testmetodiker: black, grey och white box

Valet av testmetodik påverkar både kostnad och insikt:

• Black box — testaren startar utan förkunskap om miljön. Realistiskt angriparperspektiv men tidskrävande. Ger bra bild av yttre exponering men kan missa interna konfigurationsbrister.
• Grey box — testaren får ett vanligt användarkonto och nätverksåtkomst, ibland begränsad dokumentation. Det här är den vanligaste och mest kostnadseffektiva ansatsen för AD-test, eftersom det simulerar en insider eller en angripare som redan tagit sig förbi perimetern.
• White box — testaren får full tillgång till dokumentation, konfigurationsfiler och ibland konton med förhöjda rättigheter. Ger djupast insikt och bäst täckning men är inte representativt för ett verkligt angreppsscenariot ensamt.

Opsios rekommendation: För de flesta organisationer ger grey box-testning bäst balans mellan realism och täckning. Komplettera med en white box-granskning av specifika konfigurationer (tiering-modell, delegering, GPO-kedjan) om budgeten tillåter.

Vad en seriös offert ska innehålla

En offert som bara anger "penetrationstest av AD, X kronor" utan specifikation är en varningsflagga. Här är vad du bör kräva:

1. Omfattningsdefinition

• Antal domäner och skogar som ingår
• Huruvida hybrid Azure AD / Entra ID ingår
• Antal domänkontrollanter
• Förtroenderelationer (trusts) som ska testas
• Huruvida testning av lateral movement till andra nätverkssegment ingår

2. Specificerad metodik

Leverantören bör referera till en etablerad metodik — PTES (Penetration Testing Execution Standard), OWASP Testing Guide eller MITRE ATT&CK Enterprise. Fråga specifikt vilka AD-attacktekniker som ingår. Som minimum bör offerten nämna:

• Kerberoasting och AS-REP roasting
• DCSync / DCShadow
• Missbruk av delegering (unconstrained, constrained, RBCD)
• ACL-baserad eskalering (WriteDACL, GenericAll, etc.)
• GPO-missbruk
• Pass-the-Hash / Pass-the-Ticket
• NTLM relay
• Golden Ticket / Silver Ticket

Om leverantören inte kan nämna dessa tekniker vid namn är det sannolikt inte en AD-specialist.

3. Rapportstruktur

Offerten ska specificera vilken typ av rapport som levereras:

• Exekutiv sammanfattning — för ledningen, kopplad till affärsrisk
• Teknisk rapport — detaljerade fynd med beviskedjor, skärmdumpar och steg-för-steg
• Åtgärdsplan — prioriterad lista med rekommendationer, gärna sorterad efter risk kontra insats
• Retestning — ingår det en uppföljande verifiering efter att åtgärder genomförts?

4. Kommunikation och samordning

• Hur hanteras kritiska fynd som upptäcks under testning? (Omedelbar notifiering krävs.)
• Vilka kontaktpersoner behövs från er sida?
• Hur undviker testaren driftstörningar? (Viktigt för produktionsmiljöer.)

Vad driver priset?

Miljöns storlek och komplexitet

Den enskilt viktigaste faktorn. En enda domän med 200 användare kräver fundamentalt annorlunda insats jämfört med en skogsstruktur med sex domäner, cross-forest trusts och hybridkoppling till Azure AD.

Testdjup och metodik

Black box-testning tar generellt längre tid (och kostar mer) utan att nödvändigtvis ge djupare AD-specifik insikt. Grey box med utökad konfigurationsgranskning ger ofta mest värde per krona.

Leverantörens kompetens

Det finns en stor skillnad mellan en generell penetrationstestare och en AD-specialist. AD-testning kräver djup kunskap om Kerberos-protokollet, LDAP-strukturer, Windows-autentiseringsmekanismer och NTLM-flöden. Certifieringar som OSCP, OSEP (Offensive Security Experienced Penetration Tester) och CRTO (Certified Red Team Operator) indikerar relevant praktisk kompetens.

Indikativa prisnivåer (2026, svensk marknad)

Priserna avser manuell testning utförd av kvalificerade specialister. Var skeptisk mot offerter som ligger väsentligt under dessa nivåer — det kan tyda på att testningen främst består av automatiserade skanningar.

NIS2 och regulatoriskt perspektiv

NIS2-direktivet, som trädde i kraft i EU-medlemsstaterna från oktober 2024, ställer skärpta krav på riskhantering och incidentrapportering för väsentliga och viktiga entiteter. Penetrationstest av kritisk infrastruktur — dit AD med all rätt kan räknas — är en naturlig del av det "riskbaserade angreppssätt" som direktivet kräver.

Även om NIS2 inte explicit kräver AD-penetrationstest vid namn, gör Artikel 21:s krav på "testning och revision av säkerheten" i kombination med IMY:s (Integritetsskyddsmyndighetens) tillsynspraxis att regelbunden testning av identitetsinfrastruktur i praktiken blir svår att argumentera emot.

Organisationer med ISO 27001-certifiering bör koppla testresultaten till sin riskregisterprocess och använda dem som ingångsvärde vid ledningens genomgång.

Molnsäkerhet och NIS2-efterlevnad

Vanliga misstag vid upphandling

1. Att jämföra enbart på pris. En offert på 50 000 SEK som levererar en automatiserad Nessus-rapport med AD-flaggor är inte jämförbar med en offert på 180 000 SEK som inkluderar manuell attackkedjetestning av en OSEP-certifierad konsult. Definiera vad du köper innan du jämför.

2. Att inte involvera drift/infrastruktur-teamet. Penetrationstestning av AD kräver samordning med dem som faktiskt förvaltar miljön. Testaren behöver veta vilka konton som är tjänstekonton, vilka system som är produktionskritiska och var det finns kända beroenden.

3. Att behandla rapporten som en hyllvärmare. Det viktigaste momentet sker efter testningen. Utan en strukturerad åtgärdsprocess — med ansvariga, tidsramar och verifiering — har testet inte levererat säkerhet utan bara dokumentation.

4. Att testa för sällan. AD-miljöer förändras kontinuerligt: nya tjänstekonton skapas, grupptillhörigheter ändras, nya förtroenderelationer läggs till. Ett test vartannat år missar de konfigurationsavvikelser som smyger sig in mellan testtillfällena.

Managerad molnsäkerhet

Hybrid AD och Entra ID — glöm inte molndelen

Allt fler organisationer kör hybrid-miljöer där on-premises AD synkroniseras med Entra ID (tidigare Azure AD) via Azure AD Connect. Det skapar nya attackytor som traditionella AD-tester missar om de inte explicit inkluderas:

• Password hash sync (PHS) — om Azure AD Connect-servern komprometteras kan alla lösenordshashar extraheras
• Seamless SSO-konfigurationer — kan möjliggöra silver ticket-attacker mot molnresurser
• Conditional Access-policies — behöver valideras parallellt med on-prem GPO:er
• Privileged Identity Management (PIM) — är det korrekt konfigurerat eller finns ständigt aktiva Global Admin-roller?

Säkerställ att offerten tydligt anger om hybrid-komponenten ingår. Om inte, begär det som tillägg eller som en separat insats.

Molnmigrering

Opsios perspektiv: vad vi ser i fält

Vi driver 24/7 SOC/NOC åt organisationer i Norden och internationellt. AD-relaterade incidenter är bland de mest allvarliga vi hanterar — när en angripare väl har Domain Admin är hela miljön komprometterad. Här är tre observationer från det senaste året:

Kerberoasting är fortfarande den enklaste vägen in. Trots att attacktekniken är välkänd sedan 2014 hittar vi svaga SPN-konton i nästan varje miljö vi granskar. Lösningen är enkel: långa, slumpmässiga lösenord på tjänstekonton och Group Managed Service Accounts (gMSA) där det är möjligt.

Tiering-modeller implementeras sällan korrekt. Microsoft rekommenderar en tier-modell där administrativa konton begränsas till specifika nivåer (Tier 0 för domänkontrollanter, Tier 1 för servrar, Tier 2 för klienter). I verkligheten ser vi att administratörer loggar in med samma konto på alla nivåer, vilket gör lateral movement trivialt.

GPO-hygien försummas. Gamla, overksamma gruppolicyer skapar dolda attackvägar. Ett penetrationstest avslöjar dessa kedjor — en automatiserad skanning gör det sällan.

Managerad DevOps och säkerhet

Checklista inför offertförfrågan

Använd den här listan som mall när du kontaktar leverantörer:

• [ ] Specificera antal domäner, skogar och förtroenderelationer
• [ ] Ange om hybrid Entra ID ingår
• [ ] Definiera önskad testmetodik (grey box rekommenderas)
• [ ] Kräv att specifika AD-attacktekniker listas i offerten
• [ ] Fråga efter testarnas individuella certifieringar
• [ ] Kräv exekutiv sammanfattning + teknisk rapport + åtgärdsplan
• [ ] Inkludera retestning i offerten (eller prissätt det separat)
• [ ] Definiera kommunikationsprocess för kritiska fynd
• [ ] Ange tidsram och eventuella driftfönster
• [ ] Begär referenskunder i liknande bransch/storlek

Vanliga frågor

Hur ofta bör man penetrationstesta Active Directory?

Minst årligen, samt efter varje större förändring i domänstrukturen — exempelvis migrering, förtroenderelationer med nya domäner eller övergång till hybrid Azure AD. Organisationer som lyder under NIS2 kan behöva högre frekvens beroende på riskklassificering.

Vad kostar ett AD-penetrationstest i Sverige?

För en miljö med en enda domän och under 500 användare landar priset typiskt mellan 80 000 och 150 000 SEK. Komplexa multi-domän-miljöer med förtroenderelationer, hybrid Azure AD och flera skogar kan kosta 200 000–350 000 SEK eller mer. Priset bör spegla manuellt testarbete, inte bara automatiserad skanning.

Vad är skillnaden mellan en sårbarhetsskanning och ett penetrationstest av AD?

En sårbarhetsskanning kör automatiserade verktyg som identifierar kända brister. Ett penetrationstest går längre: en etisk hackare simulerar verkliga attackkedjor — Kerberoasting, AS-REP roasting, delegationsmissbruk, DCSync — för att visa hur en angripare faktiskt tar sig från vanlig användare till Domain Admin.

Behöver vi penetrationstest om vi redan har EDR och SIEM?

Ja. EDR och SIEM är detektionskontroller, men de säger ingenting om huruvida din AD-konfiguration i sig är säker. Opsios SOC ser regelbundet miljöer där EDR larmar korrekt men angriparen redan har Domain Admin-behörighet på grund av felkonfigurerad delegering eller svaga tjänstekonton.

Vilka certifieringar bör leverantören ha?

Sök efter OSCP, OSEP eller CRTO hos de enskilda testarna — inte bara ISO 27001 på företagsnivå. AD-testning kräver djup Windows-kompetens. Fråga specifikt efter erfarenhet av verktyg som BloodHound, Impacket och Rubeus, samt hur de hanterar tester utan att orsaka driftstörning.