Virksomheder står i dag over for et stadigt voksende trusselsbillede, hvor cyberangreb ikke længere er spørgsmål om hvis, men hvornår. Derfor er det afgørende at teste dine it-systemers sikkerhed regelmæssigt – og her kommer penetrationstest ind i billedet.
En professionel penetrationstest afslører dine sårbarheder, før en angriber gør det. I denne artikel får du en komplet guide til, hvordan du planlægger og gennemfører en professionel penetrationstest fra A til Z.
Hvad er en penetrationstest?
En penetrationstest, også kaldet “pentest”, er en simuleret cyberangreb udført af sikkerhedseksperter for at identificere sårbarheder i din it-infrastruktur, netværk, applikationer eller medarbejderadfærd. Den adskiller sig fra automatiserede scanninger ved at efterligne virkelige hackere – med tilladelse og kontrol – og giver dermed dybere indsigt i, hvor din sikkerhed halter.
Formålet er ikke bare at finde fejl, men at demonstrere, hvordan de kan udnyttes – og hvad konsekvenserne kan være. En veludført penetrationstest afslører ikke kun tekniske huller, men også organisatoriske svagheder og dårlig praksis.
Trin 1: Forberedelse og planlægning
Før du går i gang med selve testen, skal du sikre, at fundamentet er på plads. En penetrationstest kræver en detaljeret plan, der tager højde for både formål, scope og juridiske rammer.
Fastlæg mål og formål
Start med at definere, hvad du vil opnå. Er formålet at teste hele organisationens sikkerhedsniveau? En bestemt applikation? Eller efterleve compliance-krav som ISO 27001 eller GDPR?
Afgræns scope
Scope beskriver, hvad der må og skal testes. Det kan fx være:
- Interne netværk og servere
- Eksternt tilgængelige tjenester
- Webapplikationer og API’er
- Fysiske adgangspunkter
- Social engineering via phishing
Jo mere præcist, desto bedre. Et for bredt scope kan resultere i upræcise konklusioner – eller endnu værre, forstyrrelser i forretningsdrift.
Indhent godkendelser
En penetrationstest simulerer angreb – derfor kræver det skriftlig tilladelse fra ledelsen. Du bør desuden informere relevante teams, så testens aktiviteter ikke bliver opfattet som reelle trusler.
Trin 2: Informationsindsamling (reconnaissance)
Næste skridt er at indsamle så mange oplysninger som muligt om målet – uden endnu at interagere aktivt med systemerne.
Dette inkluderer:
- Whois-oplysninger
- DNS-registreringer
- E-mailadresser og brugerdata fra datalæk
- Netværksinfrastruktur og offentlige IP-adresser
- Åbne ports og services
Passive metoder minimerer risikoen for at vække opsigt – nøjagtigt som en rigtig angriber ville gøre det.
Trin 3: Sårbarhedsanalyse
Når du har nok data, analyserer du potentielle indgange og svagheder i systemet. Her bruger man typisk både automatiserede værktøjer som:
- Nessus
- OpenVAS
- Nmap
…og manuelle teknikker, som vurderer konfigurationer og kodebaser.
Det er her, penetrationstest og sikkerhedsanalyse smelter sammen – sårbarhedsscanning giver dig listen over mulige huller, mens penetrationstesten vurderer, om og hvordan de faktisk kan udnyttes.
Trin 4: Udnyttelse (Exploitation)
Her forsøger testeren at udnytte fundne sårbarheder – kontrolleret og dokumenteret. Det kan f.eks. være:
- At opnå adgang til en database via en SQL Injection
- At eskalere privilegier og få administratoradgang
- At aflytte trafik via man-in-the-middle
- At installere bagdøre for vedvarende adgang
Det handler ikke om at gøre skade – men om at demonstrere, hvad en ondsindet aktør kunne opnå, hvis de fandt den samme svaghed.
Trin 5: Rapportering
En penetrationstest er kun nyttig, hvis resultaterne bliver præsenteret klart, handlingsorienteret og forståeligt – både for teknikere og ledelse.
En god rapport bør indeholde:
- En executive summary for ledelsen
- Detaljerede tekniske fund
- Konsekvensvurderinger for hvert fund
- Risikoanalyse (sandsynlighed vs. impact)
- Anbefalinger til afhjælpning
En stærk rapport giver både overblik og dybde – og fungerer som grundlag for næste skridt.
Trin 6: Afhjælpning og opfølgning
Når sårbarhederne er identificeret, skal de lukkes. Dette er typisk et samarbejde mellem udvikling, drift og sikkerhed. Der bør følges op med en ny test (re-test) af de oprindelige svagheder for at sikre, at de faktisk er lukket korrekt.
Nogle virksomheder vælger også at integrere findings i deres sikkerhedsstrategi, awareness-træning eller DevSecOps-pipelines.
Ekstra: Vælg de rigtige testere
En penetrationstest er ikke et “gør det selv”-projekt. Du bør vælge eksterne, erfarne og certificerede specialister – gerne med beviser som:
- OSCP (Offensive Security Certified Professional)
- CEH (Certified Ethical Hacker)
- CREST eller lignende anerkendte organisationer
Disse har både det tekniske niveau og forståelse for etik, compliance og forretning.
Hvornår skal du teste?
Mindst én gang årligt – men helst oftere, fx:
- Efter større systemændringer eller opgraderinger
- Ved lancering af nye digitale produkter
- Når der opdages nye trusler i branchen
- Efter større datalæk i jeres sektor
Sikkerhed er ikke en tilstand – det er en proces. Og regelmæssige tests er en uundgåelig del af den proces.
Gør det ordentligt – eller lad være
En professionel penetrationstest er ikke bare et teknisk tjek. Det er en forretningskritisk investering i beskyttelsen af jeres data, jeres kunder og jeres omdømme.
Men den kræver forberedelse, ekspertise og handling. Kun da bliver penetrationstest og sikkerhedsanalyse et reelt våben mod trusler – og ikke blot en checkboks i et compliance-skema.
Gør det ordentligt. Ellers er det spild af både tid og penge.
