White box vs. black box vs. grey box

Valet av testmetod beror på vad du vill uppnå. Här är en ärlig jämförelse:

Opsios rekommendation: Använd inte bara en metod. Kombinera ett årligt white box pentest av era mest kritiska system med regelbundna black box-tester av den externa attackytan. Det ger både djup och bredd.

Metodik: så genomförs ett white box pentest

Ett välstrukturerat white box pentest följer en tydlig metodik. Vi utgår från OWASP Testing Guide och PTES (Penetration Testing Execution Standard), anpassat för svenska regulatoriska krav.

Fas 1: Scopning och förberedelse (vecka 1)

Innan en enda rad kod granskas behöver scope definieras noggrant:

• Vilka system och komponenter ingår? Var tydlig — "hela plattformen" är inte ett scope.
• Vilka testmiljöer används? Produktionsdata bör undvikas. Staging-miljöer med realistisk data (anonymiserad) är att föredra.
• Vilka regler gäller? Definiera Rules of Engagement: vilka tider testning får ske, vilka attacker som är tillåtna, eskaleringsrutiner vid kritiska fynd.
• Juridiska avtal: NDA, testningsavtal med ansvarsbegränsning, GDPR-överväganden vid hantering av personuppgifter i testmiljö.

Fas 2: Statisk kodanalys (vecka 1–2)

Testarna granskar källkoden utan att köra den. Det handlar om att identifiera:

• Hårdkodade hemligheter: API-nycklar, databaslösenord, krypteringsnycklar som lagras direkt i koden. Verktyg som Semgrep, Gitleaks och TruffleHog automatiserar en del av detta, men manuell granskning hittar obfuskerade varianter.
• Injektionspunkter: SQL injection, XSS, command injection — spåra varje användarinmatning genom kodflödet.
• Kryptografiska brister: Svaga algoritmer (MD5, SHA-1 för lösenord), felaktig nyckelhantering, avsaknad av salt.
• Autentiserings- och auktoriseringslogik: Hur hanteras sessions-tokens? Finns det race conditions i behörighetskontroller? Kan behörighetseskalering uppnås genom att manipulera JWT-claims?

Fas 3: Dynamisk testning (vecka 2–4)

Nu körs systemet, och testarna angriper det aktivt:

• Fuzzing av API-endpoints med manipulerad indata
• Behörighetseskalering — kan en vanlig användare nå admin-funktioner?
• Sessionsmanipulering — sessionsfixering, cookie-tampering, CSRF
• Business logic-testning — kan betalningsflöden manipuleras? Kan man beställa negativa kvantiteter?
• Infrastrukturanalys — Kubernetes-konfigurationer, IAM-policyer i molnet, nätverkssegmentering

Fas 4: Rapportering och åtgärdsplan (vecka 5–6)

En bra pentestrapport är inte en lista med CVE:er. Den ska innehålla:

• Exekutiv sammanfattning för ledning och styrelse (1–2 sidor)
• Tekniska fynd med CVSS-poäng, bevis (screenshots, request/response), och steg-för-steg-reproduktion
• Prioriterad åtgärdslista — vad ska åtgärdas först baserat på faktisk risk, inte bara CVSS-poäng
• Verifieringstest efter åtgärderna — bekräfta att bristerna faktiskt är åtgärdade

Verktyg och tekniker i praktiken

White box pentest kombinerar automatiserade verktyg med manuell expertis. Verktygen ensamma räcker inte — de producerar falska positiver och missar kontextberoende brister. Men utan dem missar du de lågt hängande frukterna.

Statisk analys (SAST)

• SonarQube — bred täckning av språk, bra för kodkvalitet och säkerhetsbrister
• Semgrep — regelbaserad analys, utmärkt för custom rules anpassade till er kodbas
• Checkmarx / Fortify — enterprise-verktyg med djupare dataflödesanalys
• Gitleaks / TruffleHog — specifikt för att hitta hemligheter i Git-historik

Dynamisk analys (DAST) och manuella verktyg

• Burp Suite Professional — branschstandard för webbapplikationstestning
• OWASP ZAP — open source-alternativ med aktiv community
• Nuclei — templatebaserad sårbarhetsskanning
• SQLMap — automatiserad SQL injection-testning

Infrastruktur och molnsäkerhet

• ScoutSuite / Prowler — granskning av AWS/Azure/GCP-konfigurationer
• kube-bench — CIS Benchmark-kontroller för Kubernetes
• Trivy — sårbarhetsskanning av container-images och IaC-filer

Molnsäkerhetstjänster

NIS2 och regulatoriska krav

NIS2-direktivet, som trädde i kraft i EU under 2024 och implementeras i svensk lagstiftning, ställer explicita krav på organisationer som levererar samhällsviktiga och viktiga tjänster. Artikel 21 kräver bland annat:

• Riskanalys och säkerhetspolicyer för informationssystem
• Incidenthantering med rapporteringskrav
• Kontinuitetsplanering och krishantering
• Säkerhet i leveranskedjan — inklusive era underleverantörers system
• Säkerhetstestning och revisionsrutiner

White box pentest adresserar flera av dessa punkter direkt. Dokumentationen från testet fungerar som revisionsunderlag vid tillsyn från Myndigheten för samhällsskydd och beredskap (MSB) eller sektorsspecifika tillsynsmyndigheter.

ISO 27001-koppling

Organisationer certifierade enligt ISO/IEC 27001 behöver visa att de genomför regelbunden säkerhetstestning som en del av sin riskhanteringsprocess. White box pentest är en av de starkaste åtgärderna för kontrollerna i Annex A relaterade till:

• A.8.8 — Hantering av tekniska sårbarheter
• A.8.25 — Säker utveckling
• A.8.29 — Säkerhetstestning i utveckling och acceptans

Vanliga misstag vi ser

Från Opsios praktiska erfarenhet av att stödja penetrationstester åt kunder identifierar vi återkommande fallgropar:

1. Scope som är för brett eller för vagt. "Testa allt" leder till ytlig analys. Avgränsa till de system som bär störst risk — det som hanterar betalningar, personuppgifter eller styr kritisk infrastruktur.

2. Ingen åtgärdsprocess efter testet. Ett pentest utan uppföljning är bortkastad budget. Definiera ansvarig, tidplan och verifieringstest innan testet ens börjar.

3. Testning bara i staging, aldrig produktionslikt. Om staging-miljön saknar realistisk konfiguration (WAF, nätverkssegmentering, aktiva säkerhetskontroller) missar testet hela klasser av brister. Testa i en miljö som speglar produktion.

4. Fokus på verktygsrapporter istället för affärsrisk. En "critical" CVSS-sårbarhet i ett internt system utan exponering mot internet är inte nödvändigtvis det viktigaste att åtgärda. Prioritera baserat på faktisk attackyta och skyddsvärde.

Managerad DevOps och säkerhet

Integrera white box-testning i utvecklingsprocessen

Det mest effektiva sättet att arbeta med white box pentest är att inte behandla det som en engångsinsats. Bygg in det i er utvecklingslivscykel:

1. Automatiserad SAST i CI/CD — Semgrep eller SonarQube körs vid varje pull request. Blockera merge vid kritiska fynd.

2. DAST i staging-pipeline — OWASP ZAP eller Nuclei skannar automatiskt efter deploy till staging.

3. Manuellt white box pentest vid större releaser, arkitekturförändringar eller minst en gång per år.

4. Threat modeling vid design av nya funktioner — identifiera potentiella brister innan koden skrivs.

Den här kombinationen ger kontinuerlig säkerhet istället för ögonblicksbilder. Enligt CNCF:s årliga undersökning ökar andelen organisationer som integrerar säkerhetstestning direkt i sina CI/CD-pipelines stadigt — och de som gör det upptäcker brister veckor eller månader tidigare.

Cloud FinOps och kostnadsoptimering

Så väljer du rätt pentestpartner

Alla pentestare är inte likvärdiga. Här är vad som faktiskt spelar roll:

• Certifieringar som visar praktisk förmåga: OSCP, OSCE, CREST CRT/CCT. Undvik leverantörer som bara kör automatiserade skanningar och kallar det pentest.
• Erfarenhet av er tekniska stack: En testare som aldrig sett Kubernetes eller AWS IAM-policyer kommer missa molnspecifika brister.
• Rapportkvalitet: Be om en exempelrapport (anonymiserad). Den ska innehålla reproduktionssteg, affärsriskbedömning och konkreta åtgärdsförslag — inte bara verktygsoutput.
• Verifieringstest inkluderat: Seriösa leverantörer inkluderar en omtest-fas efter åtgärderna.
• Kommunikation under testet: Kritiska fynd ska rapporteras omedelbart, inte efter tre veckors tystnad.

Managerade molntjänster

Vad kostar ett white box pentest?

Kostnad beror på scope, men räkna med ungefär följande storleksordning för den svenska marknaden:

Jämfört med kostnaden för ett dataintrång — som enligt IBM:s Cost of a Data Breach-rapport konsekvent visar genomsnittskostnader i miljonklassen — är det en försvarbar investering. Särskilt för organisationer som hanterar personuppgifter under GDPR, där IMY kan utdöma sanktionsavgifter på upp till 20 miljoner EUR eller 4 % av global omsättning.

Vanliga frågor

Vad skiljer white box pentest från grey box pentest?

I ett grey box pentest har testaren begränsad information — exempelvis användaruppgifter och viss dokumentation, men inte fullständig källkodsåtkomst. White box ger total insyn: källkod, arkitekturdiagram, databasscheman och API-specifikationer. Grey box simulerar en insider med begränsad behörighet, medan white box möjliggör en komplett kodgranskning.

Hur ofta bör vi genomföra white box pentest?

Minst årligen, plus vid större releaser eller arkitekturförändringar. NIS2-direktivet kräver regelbunden säkerhetstestning av samhällsviktiga tjänster. Organisationer med snabba releascykler bör komplettera med automatiserad SAST/DAST i CI/CD-pipelinen och göra manuella white box-tester vid större förändringar.

Räcker inte automatiserade verktyg istället för manuellt pentest?

Automatiserade verktyg som SonarQube eller Semgrep fångar kända sårbarhetsmönster effektivt, men missar affärslogiska brister, komplex autentiseringslogik och kedjade sårbarheter. Manuellt white box pentest hittar de brister som kräver mänsklig förståelse av systemets kontext och syfte. Bäst resultat får du genom att kombinera båda.

Vilka risker finns med att ge testare full källkodsåtkomst?

Det kräver starkt förtroende och juridiska skyddsmekanismer. Upprätta alltid NDA och tydliga avtal om datahantering. Ge åtkomst via säkra miljöer — inte kopior av produktionsdata. Välj testare med dokumenterad erfarenhet och relevant certifiering (OSCP, CREST). På Opsio arbetar vi med segmenterad åtkomst och loggning av alla aktiviteter under testet.

Uppfyller white box pentest kraven i NIS2-direktivet?

NIS2 kräver att organisationer som levererar samhällsviktiga tjänster genomför regelbunden riskanalys och säkerhetstestning. White box pentest är en av de mest grundliga metoderna för att uppfylla dessa krav, särskilt artikel 21 om tekniska säkerhetsåtgärder. Dokumentationen från testet fungerar dessutom som revisionsunderlag.