Typer av nätverks-pentest

Externt penetrationstest

Fokuserar på det som syns från internet: publika IP-adresser, exponerade tjänster, VPN-gateways, webbservrar och DNS-konfiguration. Testaren utgår från samma position som en extern angripare – ingen inloggning, inga nätverksdiagram, enbart publikt tillgänglig information.

Det här avslöjar typiskt:

• Öppna portar och tjänster som inte borde vara exponerade
• Föråldrad mjukvara på perimeter-enheter
• Svaga eller standardkonfigurerade TLS/SSL-implementationer
• DNS-zontransferering och informationsläckage
• Bristfällig e-postsäkerhet (saknade SPF/DKIM/DMARC-poster)

Internt penetrationstest

Utgår från positionen att en angripare redan har en fot innanför perimetern – antingen via en komprometterad arbetsstation, en phishing-attack eller en insiderperson. Det här är där de riktigt allvarliga fynden dyker upp.

I Opsios erfarenhet från kunduppdrag hittar interna tester nästan alltid:

• Överdrivna användarrättigheter och bristfällig segmentering
• Klartextprotokoll (LLMNR, NBT-NS, mDNS) som möjliggör credential harvesting
• Kerberoasting-möjligheter i Active Directory
• Okrypterade SMB-shares med känslig data
• Service accounts med domänadmin-behörigheter

Black box, grey box och white box

Terminologin beskriver hur mycket information testaren får i förväg:

Vår rekommendation: grey box ger oftast bäst avkastning. Black box-tester spenderar oproportionerligt mycket tid på rekognosering som en verklig angripare med tålamod ändå klarar – tiden läggs bättre på att testa själva försvaret.

Pentestprocessen steg för steg

1. Scope och Rules of Engagement

Innan en enda port skannas behöver testare och uppdragsgivare enas om exakt vad som ska testas, vilka system som är undantagna (t.ex. produktionsdatabaser med patientdata) och vilka metoder som är tillåtna. Här definieras också testfönster – vi rekommenderar testning under kontorstid och utanför, eftersom säkerhetskonfigurationer ibland skiljer sig.

2. Rekognosering (OSINT och nätverksanalys)

Testaren samlar information: DNS-poster, WHOIS-data, publikt exponerade tjänster, läckta credentials i databaser (t.ex. via Have I Been Pwned-metodiken), LinkedIn-profiler för social engineering-scenarion. Nmap, Masscan och Shodan är standardverktyg i denna fas.

3. Sårbarhetsdetektion och analys

Automatiserade scanners kör mot identifierade mål. Resultaten analyseras manuellt – inte varje CVE med hög CVSS-poäng är exploaterbar i praktiken, och inte varje "informational" fynd är harmlöst. Erfarna testare vet att kontexten avgör risken.

4. Exploitation

Här sker den faktiska penetrationen. Testaren försöker exploatera identifierade sårbarheter med verktyg som Metasploit, Cobalt Strike, Impacket och egenutvecklade scripts. Målet är att uppnå tillgång – helst privilegierad – till system inom scope.

5. Post-exploitation och lateral rörelse

Väl inne i ett system eskalerar testaren privilegier, dumpar credentials, rör sig lateralt till andra nätverkssegment och försöker nå definierade mål (t.ex. domänadmin, tillgång till specifik databas, eller exfiltrering av testdata). Denna fas avslöjar hur väl er nätverkssegmentering och detektionsförmåga faktiskt fungerar.

6. Rapportering och åtgärdsrekommendationer

Rapporten är produkten som organisationen betalar för. En bra pentestrapport innehåller:

• Executive summary för ledning (affärsrisk, inte teknisk jargong)
• Tekniska fynd med steg-för-steg reproducering
• Riskklassificering baserad på exploaterbarhet och affärspåverkan
• Prioriterade åtgärdsrekommendationer med tydliga ägare

Verktyg och ramverk

Branschstandardverktyg

• Nmap/Masscan – portskanning och tjänsteidentifiering
• Burp Suite – webbapplikationstestning
• Metasploit Framework – exploatering och post-exploitation
• Impacket – Windows-protokollattacker (SMB, Kerberos, LDAP)
• BloodHound – Active Directory-attackvägskartläggning
• CrackMapExec/NetExec – nätverksutvärdering i Windows-miljöer
• Responder – LLMNR/NBT-NS/mDNS-poisoning

Ramverk och metodik

PTES (Penetration Testing Execution Standard) och OWASP Testing Guide är välkända ramverk. NIST SP 800-115 ger federala riktlinjer som också fungerar väl i svensk kontext. CREST-ackrediterade tester följer en definierad metodik som ger jämförbara resultat mellan uppdrag.

CIS Controls (version 8) ger ett naturligt komplement: pentestet validerar om era CIS-kontroller faktiskt fungerar i praktiken. CIS Control 18 ("Penetration Testing") kräver specifikt att organisationer genomför regelbundna penetrationstester.

NIS2 och regulatoriska krav i Sverige

NIS2-direktivet, som trädde i kraft i svensk lag, ställer tydliga krav på att väsentliga och viktiga entiteter vidtar proportionella tekniska och organisatoriska åtgärder – inklusive regelbunden testning av säkerhetsåtgärdernas effektivitet. Penetrationstestning är det mest direkta sättet att uppfylla detta krav.

Integritetsskyddsmyndigheten (IMY) har i flera tillsynsbeslut pekat på bristande teknisk testning som en försvårande omständighet vid dataintrång. Att kunna visa dokumentation från genomförda penetrationstester stärker organisationens position vid en incident.

Utöver NIS2 kräver eller rekommenderar följande ramverk penetrationstestning:

• ISO/IEC 27001 (Annex A, kontroll A.8.8 om teknisk sårbarhetshantering)
• SOC 2 (Trust Services Criteria, specifikt CC7.1)
• PCI DSS 4.0 (krav 11.4 för externa penetrationstester)
• GDPR artikel 32 (krav på "regelbunden testning" av säkerhetsåtgärder)

Molnsäkerhet och compliance

Pentest i molnmiljöer: AWS, Azure och GCP

Traditionella nätverks-pentester fokuserade på fysisk infrastruktur. Med hybrida miljöer och publikt moln ser verkligheten annorlunda ut. Här är några specifika överväganden:

AWS: Amazon tillåter penetrationstestning mot egna resurser utan förhandsgodkännande (sedan 2019), men DDoS-simulering och DNS-zonvandring kräver fortfarande tillstånd. Testa IAM-policyer, S3-bucketbehörigheter, och Security Group-konfigurationer. Verktyg som Prowler och ScoutSuite ger AWS-specifik sårbarhetsbedömning.

Azure: Microsoft tillåter tester mot egna Azure-resurser utan anmälan, förutsatt att de följer Rules of Engagement. Azure AD (nu Entra ID) är en kritisk attackyta – testa token-hantering, Conditional Access-policyer och app-registreringar. Region Sweden Central ger svenska datalagringskrav.

GCP: Google tillåter tester utan förhandsgodkännande. Fokusera på IAM-bindningar, VPC-konfiguration och GKE-klusterbehörigheter.

I samtliga fall: testa konfigurationen, inte plattformen. Molnleverantören ansvarar för infrastrukturens säkerhet (security of the cloud), ni ansvarar för hur ni konfigurerat den (security in the cloud).

Managerade molntjänster

Cloud FinOps

Vanliga fynd vi ser i svenska organisationer

Baserat på Opsios erfarenhet från SOC-drift och säkerhetsuppdrag ser vi ett antal återkommande mönster:

1. Platt nätverksstruktur utan segmentering – en komprometterad arbetsstation ger omedelbar tillgång till servermiljön

2. Legacy-protokoll som inte stängts av – LLMNR och NBT-NS är fortfarande aktiverade i förvånansvärt många AD-miljöer

3. Bristfällig patchhantering av nätverksutrustning – brandväggar och switchar uppdateras sällan jämfört med servrar

4. Överdrivna service account-behörigheter – service accounts med domänadmin-rättigheter och lösenord som inte roterats på flera år

5. Avsaknad av nätverksövervakning för lateral rörelse – SIEM samlar loggar men ingen letar aktivt efter indikatorer

Managerad DevOps och övervakning

Så väljer du rätt pentestleverantör

Marknaden för penetrationstestning är ojämn. Några kriterier att värdera:

• Certifieringar: OSCP som minimum för testare, CREST-ackreditering för företaget
• Rapportkvalitet: Be om en anonymiserad exempelrapport innan upphandling
• Scope-definition: En seriös leverantör ställer fler frågor än ni förväntar er i scoping-fasen
• Återtest: Avtalet bör inkludera åtminstone ett återtest efter åtgärd
• Kommunikation under test: Kritiska fynd (t.ex. aktiva intrång eller data som redan läckt) ska rapporteras omedelbart, inte vänta på slutrapporten

Var skeptisk mot leverantörer som lovar fasta priser utan scoping, erbjuder "automatiserat pentest" (det är en sårbarhetsskanning) eller levererar rapporter inom 24 timmar.

Från pentest till kontinuerlig säkerhet

Ett pentest är en ögonblicksbild. Dagen efter rapporten kan en ny sårbarhet publiceras, en konfigurationsändring skapa en ny attack-yta, eller en anställd återanvända ett komprometterat lösenord.

Den verkliga mognaden ligger i att integrera pentestresultaten i en kontinuerlig säkerhetsprocess:

1. Åtgärda kritiska fynd inom dagar, inte månader

2. Implementera kontinuerlig sårbarhetsskanning som komplement

3. Bygg detektionsregler i ert SIEM baserade på pentestets angreppstekniker

4. Gör regelbundna återtest – minst årligen, helst kvartalsvis för exponerade tjänster

5. Koppla resultaten till er riskregister och ledningens beslutsunderlag

Penetrationstestning som isolerad aktivitet en gång om året ger begränsat värde. Som en del av en integrerad säkerhetsstrategi – med SOC-övervakning, incidenthantering och FinOps-driven infrastrukturoptimering – blir det ett av de mest kostnadseffektiva verktygen för att minska faktisk risk.

Molnmigrering och säker arkitektur

Vanliga frågor

Hur ofta bör vi genomföra nätverks-pentest?

Minst årligen, och alltid efter större infrastrukturförändringar som migrering till ny molnplattform, byte av brandväggsplattform eller sammanslagning av nätverksmiljöer. Organisationer som lyder under NIS2 bör överväga kvartalsvis testning av exponerade tjänster.

Vad är skillnaden mellan sårbarhetsskanning och penetrationstest?

Sårbarhetsskanning är automatiserad och identifierar kända brister mot en databas (t.ex. CVE). Ett penetrationstest går vidare: en kvalificerad testare försöker aktivt exploatera sårbarheterna, kedja dem samman och eskalera privilegier – precis som en verklig angripare. Skanningen hittar dörrar, pentestet visar vad som händer när någon öppnar dem.

Räcker det med automatiserade verktyg som Nessus eller Qualys?

Nej. Automatiserade verktyg är nödvändiga som första steg, men de missar konfigurationsfel i affärslogik, kedjeangrepp och laterala rörelsemöjligheter. Vi ser regelbundet i Opsios SOC att de allvarligaste intrången utnyttjar svagheter som ingen scanner flaggat.

Vad kostar ett nätverks-pentest?

Priset varierar kraftigt beroende på scope: en enkel extern perimeter-testning av ett fåtal IP-adresser kan kosta från runt 50 000 SEK, medan ett fullständigt internt och externt test av en komplex företagsmiljö lätt hamnar på 200 000–500 000 SEK. Det relevanta jämförelsetalet är kostnaden för ett faktiskt intrång.

Vilka certifieringar bör pentestaren ha?

OSCP (Offensive Security Certified Professional) är branschstandard för praktisk kompetens. CREST-certifiering ger internationell trovärdighet. GPEN (GIAC Penetration Tester) är välkänd inom enterprise-miljöer. Viktigast: be om konkreta referensuppdrag, inte bara certifikat.