Så genomför jag ett penetrationstest så att kunden får både bevis, förståelse och tydliga nästa steg

När jag tänker på penetrationstest tänker jag inte först på “att hacka något”. Jag tänker på att ge kunden en realistisk bild av vad en angripare faktiskt skulle kunna göra i deras miljö.

För mig är ett bra penetrationstest inte bara en teknisk övning. Det ska visa verklig risk, inte bara möjliga svagheter på papper. Det ska också mynna ut i tydliga rekommendationer som går att arbeta vidare med efteråt.

Jag börjar alltid med att sätta ramarna rätt

Det första jag vill ha på plats är vad som faktiskt ska testas och hur långt testet får gå.

Jag vill veta:

vilka system som ingår

om det gäller externa ytor, interna system eller en specifik applikation

vilka tider som gäller

vilka risknivåer som är accepterade

vem jag ska kontakta om något oväntat händer

Det här är viktigt, för ett penetrationstest ska vara realistiskt men också kontrollerat. Kunden ska känna att testet är genomtänkt från början.

Jag vill förstå attackytan som en angripare skulle göra

När ramarna är klara börjar jag kartlägga. Jag tittar efter sådant som kan ge en angripare en väg in.

Det kan handla om:

exponerade tjänster

svaga inloggningsytor

felkonfigurationer

informationsläckage

äldre system

onödigt öppna portar

svag segmentering mellan nät

Jag tycker om att arbeta metodiskt här. Ett bra penetrationstest börjar ofta med att man ser helheten tydligt innan man går djupare.

Jag vill påvisa verklig risk, inte bara teoretiska brister

Det som gör ett penetrationstest värdefullt är att det visar vad som faktiskt går att utnyttja i praktiken.

För mig är det stor skillnad mellan att hitta en möjlig svaghet och att kunna visa vad den faktiskt innebär. Om en brist verkligen går att använda för att få åtkomst, höja behörighet eller röra sig vidare i miljön, då blir risken mycket mer konkret för kunden.

Det är också då rekommendationerna blir bättre. Man ser inte bara att något är fel, utan varför det måste åtgärdas.

Jag tänker alltid på konsekvens, inte bara teknik

Alla sårbarheter är inte lika viktiga. För mig räcker det inte att lista tekniska fynd. Jag vill också förstå vad de betyder för verksamheten.

Kan en angripare nå känslig information? Kan de störa viktiga tjänster? Kan de få fotfäste och röra sig vidare? Kan en liten brist bli allvarlig i kombination med något annat?

Jag tycker att ett bra penetrationstest ska hjälpa kunden att prioritera rätt. Det är inte mängden fynd som är viktigast, utan vilka som faktiskt gör störst skillnad att åtgärda först.

Rapporten ska gå att använda, inte bara arkivera

Jag lägger stor vikt vid hur resultatet presenteras.

En bra rapport ska vara:

tydlig

konkret

prioriterad

lätt att följa upp

Jag vill att kunden ska kunna förstå vad som hittades, hur det kunde utnyttjas, vad konsekvensen är och vad som bör göras nu, sedan och på längre sikt.

Det ska inte bara vara en teknisk lista. Det ska vara ett arbetsunderlag.

Uppföljning är en del av kvaliteten

För mig är ett penetrationstest inte riktigt klart bara för att rapporten är skickad.

Det viktiga är också vad kunden gör efteråt. Därför tycker jag att uppföljning är en naturlig del av arbetet. Jag vill kunna förklara fynden, hjälpa till att prioritera åtgärder och bidra till att förbättringarna faktiskt blir genomförda.

Det är då testet börjar skapa verkligt värde.

Så vill jag arbeta med penetrationstest

Jag vill arbeta med penetrationstest på ett sätt som är realistiskt, metodiskt och tydligt. Jag vill tänka som en angripare, men leverera som en trygg rådgivare.

För mig är ett bra penetrationstest ett test som ger kunden tre saker:

en tydligare bild av sin verkliga risk

konkreta förbättringar att arbeta vidare med

större trygghet i sitt säkerhetsarbete

Det är så jag vill arbeta med penetrationstest.