Typer av penetrationstest — och när du behöver vilken

Alla penetrationstester är inte likadana. Rätt testtyp beror på var er största exponering finns.

Nätverkspenetrationstest

Testar infrastruktur – brandväggar, switchar, DNS, Active Directory, VPN-gateways. Görs ofta i två varianter: externt (från internet, som en anonym angripare) och internt (från insidan, som en komprometterad medarbetare eller konsult). Vi ser konsekvent att organisationer som enbart testar utifrån missar kritiska svagheter i lateral rörelse internt – exempelvis obegränsat Kerberos-delegering eller felkonfigurerade NTLM-inställningar.

Applikationspenetrationstest

Fokuserar på webbapplikationer, API:er och mobilappar. Metodiken följer typiskt OWASP Testing Guide, med fokus på injektioner, trasig autentisering, åtkomstkontrollsbrister och affärslogikfel. Det sistnämnda – affärslogikfel – fångas nästan aldrig av automatiserade verktyg men kan vara förödande. Vi har sett fall där en prisberäknings-API tillät negativa kvantiteter, vilket resulterade i direkta ekonomiska förluster.

Molnpenetrationstest

Molntjänster innebär en delad ansvarsmodell. AWS, Azure och GCP ansvarar för infrastrukturen av molnet, men du ansvarar för säkerheten i molnet. Ett molnpenetrationstest granskar IAM-policyer, nätverkssegmentering (VPC/VNet-konfiguration), lagringsåtkomst (S3-buckets, Azure Blob Storage), serverless-funktioner och Kubernetes-kluster.

Vanliga fynd från Opsios SOC vid molnpenetrationstest inkluderar:

• IAM-roller med :-behörighet i produktion
• Publikt exponerade S3-buckets med loggfiler eller backuper
• Säkerhetsgrupper som tillåter 0.0.0.0/0 på hanteringsportar
• Avsaknad av guardrails i AWS Organizations eller Azure Management Groups

Molnsäkerhetstjänster

Social engineering

Den mänskliga faktorn är fortfarande den vanligaste ingångsvektorn. Ett social engineering-test kan inkludera simulerade phishing-kampanjer, vishing (telefonbedrägerier) eller fysiska intrångsförsök. Resultaten ger en realistisk bild av hur väl er säkerhetskultur fungerar bortom policydokumenten.

Fysisk säkerhetstestning

Relevant för organisationer med datacenter, labmiljöer eller andra fysiska tillgångar. Testaren försöker ta sig förbi passerkontroll, tailgating, låsbypass och andra fysiska barriärer. Ofta kombineras detta med social engineering.

Hotbilden 2026 — varför frekvensen behöver öka

AI-drivna angrepp förändrar spelplanen

Angreppssidan använder stora språkmodeller för att generera övertygande phishing-mejl på perfekt svenska, automatisera spaning och till och med generera exploateringskod. Det vi ser i Opsios SOC är att tiden från initial åtkomst till lateral rörelse krymper — angripare rör sig snabbare, och marginalen för försvararen minskar.

Ransomware-as-a-Service (RaaS)

Ransomware har blivit en mogen tjänsteekonomin. Affiliate-modeller innebär att operatörer utan djup teknisk kompetens kan köpa tillgång till färdiga verktyg och till och med kundtjänst. Resultatet: fler angrepp, bredare måltavla, lägre tröskel. Svenska medelstora företag som tidigare ansåg sig "för små för att vara mål" dyker allt oftare upp i incidentrapporterna.

Molnet som utökad attackyta

Flexeras State of the Cloud har konsekvent visat att säkerhet och kostnadshantering är de största utmaningarna vid molnanvändning. Varje ny tjänst, varje ny IAM-roll, varje ny API-gateway utökar attackytan. Utan regelbundna molnpenetrationstest är det svårt att veta om er Cloud Security Posture Management (CSPM) faktiskt fångar allt.

Managerade molntjänster

Regulatoriska krav som driver behovet

NIS2-direktivet

NIS2, som trädde i kraft i EU under 2024–2025, ställer explicita krav på riskhanteringsåtgärder för väsentliga och viktiga entiteter. Artikel 21 kräver bland annat "testning och revision av säkerheten", vilket i praktiken innebär penetrationstester. Bristande efterlevnad kan leda till sanktionsavgifter – för väsentliga entiteter upp till 10 miljoner EUR eller 2 % av global omsättning.

ISO 27001:2022

Den uppdaterade versionen av ISO 27001 refererar explicit till teknisk säkerhetstestning i Annex A, kontroll A.8.8 (Management of technical vulnerabilities). Certifieringsrevisorer förväntar sig dokumenterade penetrationstester med spårbar hantering av fynd.

GDPR och IMY

Integritetsskyddsmyndigheten (IMY) har i flera tillsynsbeslut betonat att tekniska säkerhetsåtgärder enligt GDPR artikel 32 ska vara proportionerliga mot risken. För organisationer som behandlar känsliga personuppgifter i stor skala är penetrationstester en naturlig del av den beviskedjan.

DORA (Digital Operational Resilience Act)

Finanssektorn har ytterligare krav genom DORA, som specifikt kräver threat-led penetration testing (TLPT) baserat på ramverk som TIBER-EU. Detta är avancerad testning med hotunderrättelsebaserade scenarier.

Så väljer du rätt leverantör för penetrationstest

Penetrationstestmarknaden är fragmenterad. Kvalitetsskillnaderna mellan leverantörer är enorma – från erfarna team som levererar verklig säkerhetsinsikt till byråer som kör automatiserade verktyg och klär rapporten i fina mallar. Här är vad du bör granska:

Certifieringar: CREST på organisationsnivå. OSCP, OSCE, GPEN eller GXPN hos individuella testare. För molntester: AWS Security Specialty, AZ-500 eller liknande.

Metodik: Fråga efter dokumenterad process. Seriösa leverantörer följer PTES (Penetration Testing Execution Standard), OWASP Testing Guide eller NIST SP 800-115. Be om en exempelrapport (anonymiserad).

Rapportkvalitet: Rapporten ska inte vara en Nessus-export. Den ska innehålla angreppskedjor med steg-för-steg-dokumentation, screenshots/bevisdata, affärsriskbedömning (inte bara CVSS) och åtgärdsrekommendationer prioriterade efter risk och genomförbarhet.

Hantering efter test: En bra leverantör erbjuder ett uppföljningssamtal med tekniskt team och ledning, stöd vid åtgärdsarbete och verifikationstest efter att brister åtgärdats.

Managerad DevOps och säkerhet

Så ser en penetrationstestprocess ut steg för steg

1. Scoping och avtal – Definiera vad som testas, undantag, tidsfönster, eskaleringsrutiner och juridiskt ramverk (avtal om ansvarsbegränsning och sekretess).

2. Informationsinsamling (recon) – Passiv och aktiv spaning: DNS-uppslag, OSINT, portskanning, teknologifingerprinting.

3. Sårbarhetskartläggning – Kombinera automatiserade verktyg med manuell analys för att identifiera potentiella ingångspunkter.

4. Exploatering – Försök att utnyttja identifierade sårbarheter. Dokumentera varje steg, varje pivotering, varje privilegieeskalering.

5. Efterexploatering – Undersök hur långt en angripare kan nå: lateral rörelse, dataexfiltrering, persistens.

6. Rapportering – Teknisk rapport med fynd, risknivå, bevisdata och åtgärdsrekommendationer. Separat sammanfattning för ledningsnivå.

7. Åtgärdsuppföljning – Verifikationstest (retest) för att bekräfta att kritiska och höga fynd är åtgärdade.

Opsios perspektiv: vad vi ser i praktiken

Vårt SOC/NOC i Karlstad och Bangalore hanterar säkerhetsövervakning dygnet runt. Det ger oss en unik insikt i vad som faktiskt utnyttjas i produktion – inte bara vad som ser farligt ut i en rapport. Några mönster vi ser upprepade gånger:

• Patch-eftersläpning i hybridmiljöer. Molnresurser patchas automatiskt, men on-prem-system som VPN-koncentratorer och AD-servrar halkar efter.
• Överprivilegierade tjänstekonton. Konton skapade under migreringen till molnet som "tillfälligt" fick administratörsrättigheter — och fortfarande har dem.
• Bristande segmentering. En komprometterad arbetsstation i ett kontorsnät kan nå produktionsdatabaser utan hinder.

Penetrationstester synliggör dessa brister. Kontinuerlig övervakning fångar exploateringsförsöken i realtid. Bäst resultat får ni när båda fungerar tillsammans.

Molnmigrering

Cloud FinOps

Vanliga frågor

Vad är skillnaden mellan penetrationstest och sårbarhetsskanning?

En sårbarhetsskanning kör automatiserade verktyg som listar kända brister. Ett penetrationstest går vidare och försöker aktivt exploatera bristerna för att visa verklig påverkan. Skanningen ger bredd, pentestet ger djup. De flesta mogna säkerhetsprogram behöver båda – skanning kontinuerligt, penetrationstest minst årligen.

Hur ofta bör ett företag genomföra penetrationstest?

Minst en gång per år som baslinje, men oftare vid större förändringar – ny applikation i produktion, molnmigrering, förvärv eller efter en incident. Verksamheter under NIS2 bör räkna med kvartalsvis testning av kritiska system.

Vad kostar ett penetrationstest?

Priset varierar kraftigt beroende på scope. Ett avgränsat applikationstest för en webbapp kan ligga på 50 000–120 000 SEK, medan ett fullständigt nätverks- och molntest med social engineering lätt kostar 200 000–500 000 SEK. Det relevanta jämförelsepriset är kostnaden för ett intrång – som typiskt överstiger detta med flera storleksordningar.

Behöver vi penetrationstest om vi redan kör i molnet?

Absolut – snarare mer. Molnleverantörens delade ansvarsmodell innebär att du äger säkerheten i dina konfigurationer, IAM-policyer och applikationer. Felkonfigurerade S3-buckets, överdimensionerade IAM-roller och öppna säkerhetsgrupper är bland de vanligaste fynden vårt SOC ser i molnbaserade penetrationstester.

Vilka certifieringar bör en penetrationstestleverantör ha?

Titta efter CREST-ackreditering på organisationsnivå och individuella certifieringar som OSCP, OSCE eller GPEN hos testarna. För molnspecifika tester är AWS Certified Security – Specialty eller motsvarande Azure/GCP-certifieringar en bonus. Leverantören bör även visa en tydlig metodik baserad på OWASP Testing Guide eller PTES.