Så genomför jag ett penetrationstest så att kunden får verklig riskbild, tydliga bevis och åtgärder som går att genomföra
För mig är ett penetrationstest inte en snabb teknisk kontroll och inte heller en lista med möjliga svagheter som lämnas över utan sammanhang. Ett bra penetrationstest ska visa hur en angripare faktiskt skulle kunna arbeta mot miljön, men på ett kontrollerat sätt som ger kunden något användbart tillbaka.
Det är där jag tycker att värdet finns. Kunden ska inte bara få veta att “något är sårbart”. Kunden ska förstå vad som gick att göra, varför det spelar roll, hur allvarligt det är och vad som bör åtgärdas först.
Jag börjar med att göra avgränsningen skarp
Det första jag vill få helt rätt är ramarna. Jag vill veta exakt vad som ingår, vad som inte ingår, vilka tider som gäller, vilka kontaktvägar som ska användas om något oväntat händer och vilken risknivå som är accepterad under testet.
Det här är inte bara administration. Det är en viktig del av kvaliteten. Om avgränsningen är otydlig blir testet sämre. Då riskerar man antingen att missa det som borde testas eller att skapa onödig osäkerhet hos kunden.
Jag vill att kunden ska känna att testet är genomtänkt redan innan första tekniska steget börjar.
Jag kartlägger som en angripare, men med ett tydligt syfte
När ramarna är på plats börjar jag med upptäcktsfasen. Här vill jag se miljön på samma sätt som en angripare skulle göra. Jag letar efter exponerade tjänster, informationsläckage, felkonfigurationer, gamla attackytor, onödigt öppna portar, svag segmentering, otillräckligt skyddade inloggningsytor och andra möjliga vägar in.
Men jag gör det inte för att samla flest möjliga fynd. Jag gör det för att bygga en realistisk bild av hur en attack kan börja.
För mig är den här fasen viktig, eftersom många allvarliga kedjor börjar med något som ser litet ut vid första anblick. Ett ensamt fynd kanske inte ser dramatiskt ut, men i kombination med andra brister kan det bli mycket mer allvarligt.
Jag vill visa verklig risk, inte bara teoretiska brister
Nästa steg är det som skiljer ett starkt penetrationstest från en mer ytlig genomgång. Jag vill verifiera vad som faktiskt går att utnyttja.
Det betyder att jag försöker exploatera det som hittats, men kontrollerat. Målet är inte att “ta sig längst möjligt” för sakens skull. Målet är att visa verklig risk på ett sätt som kunden kan förstå och agera på.
Om en sårbarhet faktiskt går att använda för att få åtkomst, läsa känslig information, höja behörighet eller röra sig vidare i miljön, då blir den mycket mer konkret än om den bara listas som en möjlig svaghet. Det gör också att rapporten blir starkare. Kunden får inte bara ett antagande, utan ett bevis.
Jag bedömer alltid konsekvensen i verksamheten
För mig räcker det inte att säga att något gick att utnyttja. Jag vill också förstå vad det betyder för verksamheten.
Kan en angripare nå något som är affärskritiskt? Kan ett intrång påverka tillgänglighet, förtroende eller efterlevnad? Är det här en väg till större spridning i miljön? Är det en brist som borde prioriteras direkt, eller något som kan planeras in i nästa förbättringssteg?
Det är där penetrationstestet blir mer än teknik. Det blir ett beslutsunderlag.
Jag tycker att ett riktigt bra test hjälper kunden att prioritera rätt, inte bara att samla fynd.
Rapporten ska vara tydlig, prioriterad och användbar
Jag lägger stor vikt vid rapporteringen. För mig är rapporten inte slutet på arbetet. Den är det dokument som avgör om kunden faktiskt kan gå vidare på ett klokt sätt.
Jag vill att rapporten ska ge: en tydlig översikt över vad som testats, vad som hittats, vad som har verifierats i praktiken, vilken risk det innebär och vilka åtgärder som bör prioriteras först.
Jag tycker om rapporter som är raka. De ska inte vara skrivna för att imponera med svåra ord. De ska hjälpa kunden att fatta beslut.
Det betyder också att rekommendationerna måste vara konkreta. Jag vill inte skriva allmänt att “säkerheten bör stärkas”. Jag vill kunna säga om det handlar om segmentering, härdning, identitetsskydd, ändrade brandväggsregler, förbättrad loggning, säkrare utvecklingsprocess eller något annat som faktiskt går att genomföra.
Uppföljning är en del av kvaliteten, inte ett tillägg
För mig är testet inte färdigt bara för att rapporten är skickad. Det viktiga är också att kunden kan ta nästa steg.
Därför tycker jag att uppföljning är en naturlig del av ett bra penetrationstest. Jag vill kunna förklara fynden, resonera kring prioritering, svara på frågor om åtgärder och hjälpa till att säkerställa att förbättringarna faktiskt genomförs.
Det är också här mycket förtroende byggs. Kunden märker ganska snabbt skillnaden mellan någon som bara lämnar över ett dokument och någon som faktiskt vill hjälpa verksamheten vidare.
Jag ser penetrationstest som en del av ett större säkerhetsarbete
Jag tycker inte att ett penetrationstest ska ses som en isolerad punktinsats. Det fungerar bäst som en del av ett större arbete med motståndskraft, förbättring och tydligare säkerhetsstyrning.
När ett test görs rätt får kunden inte bara en bild av dagens risker. Kunden får också ett starkare underlag för fortsatt arbete med säkerhet, prioritering, uppföljning och mognad.
Det är där jag tycker att penetrationstest gör som mest nytta.
Så vill jag arbeta med penetrationstest
Jag vill arbeta med penetrationstest på ett sätt som är realistiskt, strukturerat och användbart. Jag vill tänka som angriparen, men leverera som en trygg rådgivare.
För mig är ett bra penetrationstest ett test som ger kunden tre saker: en tydlig riskbild, verifierade fynd och åtgärder som faktiskt går att arbeta vidare med.