Hopp til hovedinnhold
Awareness SecurityAwareness Security
Bestill PentestEN
10 min lesetid

Hva skjer under en penetrasjonstest? Fra bestilling til rapport

Du har bestemt deg for å gjennomføre en penetrasjonstest. Du har forberedt testmiljø og testbrukere, definert scope og signert autorisasjon. Men hva skjer egentlig fra dette punktet til du har en ferdig rapport i hånden? I denne artikkelen tar vi deg gjennom hele prosessen steg for steg.

Hos Awareness Security følger vi en strukturert prosess med fire kontrollpunkter — det vi kaller Human-in-Control-prosessen. Hvert kontrollpunkt sikrer at du har full innsikt og kontroll over hva som skjer med dine systemer.

Første fase er autorisasjon og onboarding — Gate 0. Dette er alt vi har dekket i artikkelen om forberedelse. Scope defineres, autorisasjon signeres digitalt, og testvinduet godkjennes. Ingen testing starter før dette er på plass. Du får tilgang til en portal der du kan følge status gjennom hele oppdraget.

Når autorisasjonen er på plass, starter den tekniske delen med rekognosering. Testerne kartlegger applikasjonens angrepsflate — hvilke sider, funksjoner, API-endepunkter og teknologier som er eksponert. AI-assistert skanning hjelper med å identifisere åpenbare inngangspunkter og potensielle svakheter raskt. All denne analysen kjøres lokalt på vår infrastruktur — ingen data sendes til eksterne leverandører.

Basert på rekognoseringen utarbeides en angrepsplan — Gate 1. Denne planen beskriver hvilke testteknikker som vil brukes, hvilke områder som prioriteres, og eventuelle risikoer ved testingen. Du får se planen og sikkerhetsanalytikeren gjennomgår og godkjenner den før aktiv testing begynner. Ingen angrep utføres uten at planen er godkjent.

Hvorfor er dette viktig? Fordi penetrasjonstesting innebærer aktiv manipulering av applikasjonen din. Vi vil forsøke å omgå autentisering, eskalere rettigheter, injisere ondsinnet input, og teste grensene for hva applikasjonen tillater. Angrepsplanen sikrer at dette gjøres kontrollert og innenfor avtalt scope.

Så starter selve testingen. Sikkerhetsekspertene arbeider systematisk gjennom angrepsplanen. De tester for OWASP Top 10-sårbarheter som broken access control, injection og security misconfiguration. De prøver å finne forretningslogikkfeil — kan en bruker bestille varer til negativ pris? Kan noen se andre brukeres data ved å endre en ID i URL-en? Kan en vanlig bruker få tilgang til adminfunksjoner?

Testingen er en kombinasjon av automatiserte verktøy og manuell kreativitet. AI-modeller er gode til systematisk testing — de sjekker hundrevis av parametre for kjente sårbarhetsmønstre. Men de mest alvorlige sårbarhetene finner mennesker. Forretningslogikkfeil, komplekse tilgangskontrollproblemer og kontekstspesifikke svakheter krever menneskelig forståelse.

Underveis dokumenterer testerne alt de finner. Hvert funn beskrives med hva sårbarheten er, hvordan den ble oppdaget, hvilken risiko den utgjør, og hvordan den kan utnyttes. Skjermbilder og tekniske detaljer inkluderes slik at utviklerne dine kan reprodusere og forstå problemet.

Når testingen er gjennomført, valideres alle funn — Gate 2. Dette er et kritisk steg som skiller profesjonell penetrasjonstesting fra automatisert skanning. Sikkerhetseksperter gjennomgår hvert funn manuelt for å eliminere falske positiver. Et funn som ser alvorlig ut i en automatisert rapport kan vise seg å være harmløst i kontekst — eller omvendt. Validering sikrer at du kun får rapportert reelle sårbarheter.

Hver sårbarhet tildeles en alvorlighetsgrad: kritisk, høy, middels eller lav. Vurderingen tar hensyn til hvor lett sårbarheten kan utnyttes, hva konsekvensen er hvis den utnyttes, og hvor eksponert den er. En SQL-injeksjon i innloggingssiden er kritisk. En manglende security header er lav.

Så kommer leveransen — Gate 3. Rapporten skrives og kvalitetssikres av mennesker, ikke generert av AI. En typisk rapport inneholder et ledersammendrag som forklarer de viktigste funnene i et ikke-teknisk språk — dette er for ledelsen og beslutningstakere. Deretter kommer en teknisk detaljseksjon for hvert funn med beskrivelse, risikovurdering, reproduksjonssteg og konkrete anbefalinger for utbedring.

Rapporten inkluderer også en oversikt over hva som ble testet og hva som ikke ble testet, metodikken som ble brukt, og en prioritert handlingsplan. De mest kritiske sårbarhetene bør utbedres først, og rapporten gir deg et klart veikart.

Mange leverandører stopper her, men det er etter rapporten det virkelige arbeidet begynner. Vi anbefaler å prioritere funnene basert på alvorlighetsgrad og gjennomførbarhet. Kritiske og høye funn bør utbedres umiddelbart. Middels funn bør planlegges inn i neste sprint eller utviklingssyklus. Lave funn kan adresseres over tid.

Retesting er en viktig del av prosessen. Etter at utviklerne har utbedret sårbarhetene, bør det verifiseres at fiksen faktisk fungerer og ikke har introdusert nye problemer. Avtal med leverandøren om retesting er inkludert i prisen eller koster ekstra.

Hele prosessen — fra oppstart til levert rapport — tar typisk 2-4 uker for en standard webapplikasjon. Selve testingen utgjør vanligvis 1-2 uker, mens rapportskriving, validering og kvalitetssikring tar ytterligere noen dager.

En god penetrasjonstest gir deg mer enn en liste over sårbarheter. Den gir deg innsikt i applikasjonens reelle sikkerhetsnivå, konkrete tiltak du kan prioritere, dokumentasjon du kan bruke for compliance-formål, og trygghet for at de mest kritiske svakhetene er identifisert.

Vil du vite mer om hvordan prosessen fungerer hos oss? Ta kontakt for en uforpliktende samtale — vi veileder deg gjennom hele løpet.

Tilbake til bloggen