Vad som skiljer en bra pentestkonsult från en dålig

Certifieringar som faktiskt betyder något

Marknaden för säkerhetscertifieringar är enorm, och långt ifrån alla är likvärdiga. Här är vad vi rekommenderar att du frågar efter:

OSCP (Offensive Security Certified Professional) – branschstandarden för praktisk offensiv säkerhetskompetens. Examinationen är ett 24-timmarsprov där kandidaten måste bryta sig in i system på riktigt. Ingen multiple choice.

CREST-certifiering – visar att konsultföretaget som helhet arbetar efter granskade processer, inte bara att en enskild person har teknisk kompetens. Relevant på företagsnivå.

OSWE (Offensive Security Web Expert) – specialisering inom webbapplikationssäkerhet. Viktig om ert scope primärt handlar om webbtjänster.

CEH (Certified Ethical Hacker) – en grundläggande certifiering. Den visar basförståelse men räcker inte som ensam kvalifikation för en pentestkonsult.

Opsios perspektiv: Vi ser ibland upphandlingar där CEH listas som enda krav. Det är ungefär som att kräva B-körkort för en rallyförare. Fråga alltid efter individuella certifieringar hos de personer som faktiskt utför testet – inte bara företagets övergripande ackrediteringar.

Metodikramverk – skelett som ger struktur

En seriös konsult arbetar efter etablerade ramverk. De viktigaste:

• OWASP Testing Guide – standardreferens för webbapplikationstestning, med detaljerade testfall per sårbarhetskategori
• PTES (Penetration Testing Execution Standard) – definierar faserna från förberedelse till rapportering
• NIST SP 800-115 – USAs nationella standardinstituts tekniska vägledning för informationssäkerhetstestning
• OSSTMM (Open Source Security Testing Methodology Manual) – kvantitativ metodik som mäter operativ säkerhet

Fråga konsulten vilka ramverk de följer och hur dessa speglas i deras testplan. Om svaret är vagt har du din röda flagga.

Kommunikation och affärsförståelse

Den tekniskt bästa pentestaren i världen är värdelös om rapporten inte leder till åtgärd. Det här är där många engagemang faller platt. En bra konsult:

• Anpassar riskklassificeringen efter er verksamhet, inte bara CVSS-poäng
• Presenterar resultat så att både CISO och ledningsgrupp förstår
• Ger prioriterade åtgärdsrekommendationer med tydlig effort-kontra-effekt-bedömning
• Erbjuder en debriefing – inte bara en e-postad rapport

Typer av penetrationstest och när du behöver vilken

Black box, grey box och white box

Black box – konsulten får ingen förhandsinformation. Simulerar en extern angripare. Bra för att testa exponerade ytor, men tidsintensivt och missar ofta intern logik.

Grey box – konsulten får begränsad information: nätverksdiagram, användarkonton, API-dokumentation. Den mest kostnadseffektiva ansatsen för de flesta organisationer. Ger realistiska resultat utan att slösa tid på rekognosering som inte tillför värde.

White box – full tillgång till källkod, arkitekturdokumentation och miljöer. Djupast möjliga testning. Används ofta för säkerhetskritiska applikationer där man vill hitta allt.

Opsios rekommendation: Grey box ger bäst avkastning per krona för de flesta organisationer. Det simulerar en angripare som redan har fått fotfäste – vilket är det scenario som leder till allvarligast skada.

Red team vs. traditionellt pentest

Red team-engagemang skiljer sig fundamentalt från ett avgränsat pentest. Där ett pentest fokuserar på att hitta så många sårbarheter som möjligt inom ett definierat scope, handlar red teaming om att testa organisationens hela försvarsförmåga – inklusive detektionskapacitet, incidentrespons och personalens beteende.

Red team-övningar är relevanta för organisationer som redan har en mogen säkerhetsfunktion och vill validera den under realistiska förhållanden. Om ni inte har genomfört grundläggande pentester är det för tidigt för red team.

Regulatoriska krav som driver behovet

NIS2-direktivet

NIS2, som trädde i kraft i EU, ställer krav på att väsentliga och viktiga entiteter genomför regelbundna riskbedömningar och säkerhetstester. Penetrationstest är inte explicit namngivet, men det är den mest etablerade metoden för att uppfylla kraven på att "testa och utvärdera effektiviteten i säkerhetsåtgärder". Svenska organisationer inom sektorer som energi, transport, hälso- och sjukvård, digital infrastruktur och offentlig förvaltning bör se pentestning som en grundförutsättning för NIS2-efterlevnad.

ISO 27001 och PCI DSS

ISO 27001 (Annex A, kontroll A.8.8) kräver hantering av tekniska sårbarheter, och penetrationstest är den mest effektiva metoden för att verifiera att kontrollerna fungerar. PCI DSS kräver explicit penetrationstest minst årligen och efter väsentliga förändringar.

GDPR och IMY

Integritetsskyddsmyndigheten (IMY) har i flera tillsynsbeslut understrukit vikten av tekniska säkerhetsåtgärder enligt GDPR artikel 32. Penetrationstest av system som behandlar personuppgifter är ett konkret sätt att visa att ni uppfyller kravet på "lämpliga tekniska åtgärder". Molnsäkerhet

Upphandling i praktiken – en checklista

Att upphandla pentesttjänster kräver att du ställer rätt frågor. Här är de vi rekommenderar:

1. Vem utför testet? Be om CV och certifieringar för de faktiska testarna, inte säljavdelningens presentationsmaterial.

2. Vilken metodik används? Förvänta dig att höra OWASP, PTES eller NIST SP 800-115. Generiska svar som "vår egenutvecklade metod" bör ifrågasättas.

3. Hur ser leveransen ut? Be om en exempelrapport (anonymiserad). En bra rapport innehåller: sammanfattning för ledning, detaljerade tekniska fynd med bevis, riskklassificering anpassad efter er kontext, och prioriterade åtgärdsförslag.

4. Vad händer efter testet? Erbjuder konsulten verifieringstest (retest) efter att ni åtgärdat brister? Det bör ingå eller erbjudas till rimlig kostnad.

5. Försäkring och ansvar – har konsulten ansvarsförsäkring som täcker eventuell skada under testet?

6. Hantering av fynd – hur kommuniceras kritiska fynd under testet? En seriös konsult rapporterar allvarliga brister omedelbart, inte först i slutrapporten.

Molnmiljöer kräver specialistkompetens

Traditionell pentestmetodik fungerar inte rakt av i molnmiljöer. AWS, Azure och GCP har unika attackytor som kräver specifik kunskap:

• IAM-felkonfigurationer – den vanligaste bristen vi ser från Opsios SOC. Överprivilegierade roller och policyer som tillåter lateral rörelse.
• Exponerade storage-resurser – S3 buckets, Azure Blob Storage och GCS som är öppna eller felkonfigurerade.
• Nätverkssegmentering – VPC-konfigurationer, security groups och network ACL:er som inte begränsar trafik tillräckligt.
• Serverless och container-specifika risker – Lambda-funktioner med överprivilegier, Kubernetes RBAC-brister, container escapes.

AWS, Azure och GCP tillåter alla pentestning av era egna resurser utan att ni behöver begära förhandstillstånd (med vissa undantag för DoS-tester). Men konsulten måste förstå molnleverantörens ansvarsmodell (shared responsibility model) och testa rätt saker.

Managerade molntjänster

Managerad DevOps

Rapportens anatomi – vad ni ska förvänta er

En pentestrapport av hög kvalitet innehåller:

Om konsulten levererar en automatgenererad rapport från ett skanningsverktyg med en logotyp på framsidan – då har ni betalat för en sårbarhetsskanning, inte ett penetrationstest.

Hur Opsio arbetar med pentestning

Opsios molnsäkerhetstjänster inkluderar penetrationstest som en integrerad del av en bredare säkerhetsstrategi. Genom vårt 24/7 SOC/NOC i Karlstad och Bangalore ser vi dagligen vilka sårbarheter som faktiskt exploateras i produktion – inte bara i teori. Den insikten styr hur vi prioriterar och rapporterar.

Vi arbetar efter PTES och OWASP Testing Guide, med testare som håller OSCP och OSWE. Varje engagemang inkluderar debriefing med ert team och en kostnadsfri verifieringstest inom 90 dagar efter åtgärd. Cloud FinOps

Vanliga frågor

Hur ofta bör ett företag genomföra penetrationstest?

Minst årligen, och dessutom vid större förändringar i infrastruktur, applikationer eller molnmiljö. Organisationer som omfattas av NIS2 eller PCI DSS har ofta striktare krav. I praktiken ser vi att kvartalsvis testning av exponerade tjänster ger bäst riskhantering.

Vad kostar ett penetrationstest?

Priset varierar kraftigt beroende på scope. En avgränsad webbapplikationstest kan kosta 50 000–150 000 SEK, medan en fullskalig red team-övning mot hela infrastrukturen kan landa på 500 000 SEK eller mer. Billigast är sällan bäst – fråga efter metodik och leveransformat innan du jämför pris.

Vad är skillnaden mellan penetrationstest och sårbarhetsskanning?

Sårbarhetsskanning är automatiserad och identifierar kända brister. Penetrationstest går djupare: en konsult validerar sårbarheterna manuellt, kedjar ihop dem och visar faktisk affärspåverkan. Skanningen hittar dörren – pentestet visar vad som händer om någon öppnar den.

Vilka certifieringar ska en pentestkonsult ha?

OSCP (Offensive Security Certified Professional) är branschens guldstandard för teknisk kompetens. CREST-certifiering visar att konsultens arbetsprocesser är granskade. CEH är en grundnivå som inte ensam räcker. Fråga alltid efter individuella certifieringar hos de personer som faktiskt utför testet.

Behöver vi pentesta vår molnmiljö separat?

Ja. Molnmiljöer har unika attackytor: IAM-felkonfigurationer, exponerade storage buckets, överprivilegierade roller. AWS, Azure och GCP tillåter pentestning av egna resurser utan föranmälan, men konsulten måste förstå molnspecifika risker – inte bara tillämpa traditionell nätverksmetodik.