Forside · Total Sikkerhed · Pentest
PENTEST · IN-HOUSE · INGEN MELLEMMAND

Vi finder hullerne.
Før nogen anden gør.

Danske teknikere der bruger den tid det tager. Ingen videresalg, ingen markup, ingen ventetid på en udenlandsk konsulent. Bare grundigt håndværk og en rapport I kan handle på.

KORT SVAR

En penetrationstest er en kontrolleret angrebssimulation udført af erfarne sikkerhedsfolk der finder sårbarheder som automatiske scannere overser. Priser: fra 15.000 kr. (social engineering) til 35.000 kr. (intern infrastruktur). Retest af kritiske fund er inkluderet inden for 90 dage.

FORSKELLEN MAN BØR KENDE

Sårbarhedsscanning er ikke det samme som en pentest.

Mange virksomheder tror de er “pentestet” fordi deres antivirus eller XDR-løsning kører en automatisk scanning. Det er ikke det samme. Forskellen kan koste jer dyrt, eller spare jer for et angreb der ellers ville lykkes.

SÅRBARHEDSSCANNING

En automatisk maskine der tjekker en liste

En scanner kører gennem en database af kendte sårbarheder og spørger systemet: “Har du denne fejl? Har du den her? Den her?” Den siger ja eller nej, og laver en rapport over fundene.

Værdifuldt, men begrænset. Den finder kun det den allerede ved at lede efter. Den ser ikke logikfejl, kæder af små problemer, eller misbrug af legitim funktionalitet. Og den udnytter ikke noget.

PENTEST

Et menneske der forsøger at bryde ind

En pentester er en specialiseret tekniker der reelt forsøger at angribe jeres systemer på samme måde som en rigtig angriber ville. Tænker kreativt. Kombinerer fund. Udnytter logikfejl. Tester hypoteser.

Resultatet er ikke en liste af “muligvis-sårbarheder”, men en konkret demonstration af hvad en angriber faktisk kan, og dermed hvor I reelt står.

FIRE TYPER · ÉT FORMÅL

Vi tester der, hvor angreb reelt sker.

Forskellige angreb kommer fra forskellige steder. Vi tilbyder fire pentest-typer der dækker de mest realistiske trusler mod danske SMV'er. De kan kombineres efter behov.

01 · EKSTERN INFRASTRUKTUR

Ekstern pentest

“Hvad kan en angriber se og udnytte fra internettet?”

Vi tester alt det I har eksponeret mod internettet, webserver, mailserver, VPN, firewalls, eksposerede tjenester. Vi kortlægger jeres angrebsflade og forsøger at trænge ind uden nogen forhåndsadgang, præcis som en ekstern angriber ville.

Fra 25.000 kr.
1-2 uger
02 · INTERN INFRASTRUKTUR

Intern pentest

“Hvor langt når en angriber, når de først er inde?”

Vi simulerer en angriber der allerede har fået fodfæste, fx via et phishing-angreb. Hvor langt kan de bevæge sig i jeres netværk? Kan de eskalere rettigheder? Kan de nå jeres mest følsomme data? Næsten alle alvorlige hændelser eskalerer her.

Fra 35.000 kr.
2-3 uger
03 · WEB / APPLIKATION

Applikations-pentest

“Er jeres egen webapp sikker mod jeres brugere?”

Hvis I har en webshop, en kundeportal, en API eller en intern applikation, så er den et af jeres mest udsatte angrebspunkter. Vi tester den efter OWASP-standard og leder specifikt efter logikfejl, autorisationshuller og fejl der ikke fanges af automatiske scannere.

Fra 30.000 kr.
1-3 uger
04 · PHISHING · SOCIAL ENGINEERING

Menneske-pentest

“Hvor stærkt er jeres svageste led, uden teknik?”

Vi forsøger at narre jeres medarbejdere via skræddersyede phishing-mails, telefonopkald eller fysiske besøg. Målet er ikke at udstille folk, men at vise hvor procedurerne svigter, og hvor I bør træne mere. Resultatet er læring, ikke navngivning.

Fra 15.000 kr.
1-2 uger
DET ER DERFOR I VIL HAVE OS

Vi laver det selv. Det burde være standard. Det er det ikke.

Mange danske IT-firmaer sælger pentest, men de færreste udfører den selv. De videresælger fra en udenlandsk underleverandør og lægger 30% oven i prisen. I betaler mere, venter længere, og taler aldrig direkte med den der faktisk holder tastaturet.

In-house, fra start til slut

Vores egen pentest-tekniker udfører hele arbejdet fra Danmark. Ingen underleverandører, ingen videresalg. I taler med den person der faktisk leder efter hullerne.

Dansk dialog under hele forløbet

Når vi finder noget kritisk midt i et forløb, ringer vi. På dansk. Med det samme. I behøver ikke vente på en oversat rapport fra en udenlandsk konsulent.

Ærlig pris, ingen 30% mellemmand

Når vi ikke skal lægge 30% oven i for en underleverandør, kan I få den samme grundige test til en lavere pris. Eller mere test for de samme penge.

SÅDAN VIRKER DET HOS DE FLESTE

  • I taler med en sælger, ikke en tekniker
  • Selve testen laves af en underleverandør
  • 30% markup oven i underleverandørens pris
  • Rapport leveres på engelsk, ofte forsinket
  • Spørgsmål skal igennem flere led
  • Retest koster ekstra

SÅDAN VIRKER DET HOS OS

  • I taler med teknikeren der laver testen
  • Testen laves in-house i Danmark
  • Ingen mellemmand-markup, vi tjener på selve arbejdet
  • Rapport leveres på dansk, til aftalt tid
  • Direkte kontakt under hele forløbet
  • Retest af kritiske og høj-fund er inkluderet i 90 dage
EN UFORPLIGTENDE SNAK

Vil I have en uforpligtende scope-samtale?

Ring til os eller udfyld formularen. Vi ringer tilbage inden for én arbejdsdag og taler om hvad I gerne vil have testet. Derefter får I en fast pris.

Eller ring 82 82 82 95
VI RINGER TILBAGE
Vi gemmer kun jeres oplysninger til at ringe tilbage.
DET I FÅR I HÅNDEN

En rapport I kan handle på, ikke arkivere.

For mange pentest-rapporter ender i en skuffe fordi de er for tekniske, for lange, eller mangler konkrete anbefalinger. Vores leveres på to niveauer, så både IT-folk og ledelsen kan handle på det samme dokument.

Executive summary

1-2 sider på almindeligt dansk, så bestyrelse og direktion forstår status, uden at skulle læse 50 siders teknik.

Teknisk rapport med replikering

Hver fund beskrevet med screenshots, kommandoer og præcis vejledning til hvordan I selv kan reproducere det, og rette det.

Prioriteret risiko-rangering

Fund klassificeret som Kritisk · Høj · Medium · Lav, så I ved hvad I skal rette først, og hvad der kan vente til næste budget.

Mundtlig debrief

1-times videomøde hvor vi går rapporten igennem med jeres IT-folk og ledelse. I kan stille alle de spørgsmål I har, på dansk.

Konkrete anbefalinger

For hvert fund: hvad det er, hvorfor det er farligt, og præcis hvad I skal gøre for at lukke det. Ingen vag tale om “best practice”.

Gratis retest af kritiske fund

Når I har rettet kritiske og høj-fund, retester vi gratis inden for 90 dage. I ved derfor om I reelt har lukket hullerne, ikke bare om I tror det.

PROCESSEN

Fra første samtale til retestet rapport.

En typisk pentest tager 3-5 uger fra start til slut. Her er hvad der sker undervejs, så I ved præcis hvad I går ind til, og hvad I selv skal bidrage med.

1

Scope-samtale

30-60 minutter

Vi taler om hvad I ønsker testet, hvor I står i dag, og hvad I er bange for. Ud fra det giver vi en fast pris og en konkret tidsplan. Ingen forpligtelse, I siger ja eller nej derefter.

2

Skriftlig aftale og angrebsplan

2-3 dage

Vi sender en kort kontrakt med præcis aftalt scope, tidspunkt, og hvad der må og ikke må testes. I ved nøjagtigt hvad vi gør, hvornår vi gør det, og hvilke systemer der er omfattet.

3

Selve testen

1-3 uger

Vores tekniker udfører testen. Hvis vi finder noget kritisk midt i forløbet, ringer vi med det samme, I skal ikke vente på rapporten for at få besked om noget der bør lukkes nu.

4

Rapport og debrief

3-5 dage efter testen

I får rapporten leveret på dansk, og vi booker et 1-times videomøde hvor vi går den igennem sammen med jeres IT-folk og ledelse. Alle spørgsmål besvares på mødet, ikke i et email-forløb der trækker ud.

5

Retest af kritiske fund

Inden for 90 dage

Når I har rettet de kritiske og høj-fund, retester vi gratis. I får dokumentation på at hullerne reelt er lukket, vigtigt for forsikring, certificering og bestyrelse.

EKSEMPLER FRA VIRKELIGHEDEN

Tre fund fra de seneste måneder, anonymiseret.

Vi viser ikke kundenavne eller branche, men fundene er reelle. Alle tre var sårbarheder som kundernes eksisterende sikkerhedsløsninger ikke havde fanget, fordi de ikke leder efter denne type fejl.

KRITISK

Forældet CMS med uautoriseret admin-adgang

En kundes hjemmeside kørte en version af Drupal med kendte sårbarheder. Vi kunne tilgå administrationspanelet uden login og potentielt overtage hele serveren.

Konsekvens: Total kompromittering af webserver, mulig adgang til kundedatabasen, defacement, datatab.
KRITISK

Eksponeret Plesk-administrationspanel

En kundes hosting-platform havde admin-login eksponeret mod internettet uden begrænsninger, kombineret med svage adgangskoder. Standard brute-force ville have virket inden for timer.

Konsekvens: Fuld kontrol over hosting-miljø, alle virksomhedens websteder og mail kompromitteret.
HØJ

Phishing-mail nåede 73% af medarbejderne

I en social-engineering-test sendte vi en realistisk mail om “ny pakke fra Posten”. 73% klikkede. 41% indtastede deres loginoplysninger. Ingen rapporterede mailen.

Konsekvens: Bekræftet behov for medarbejdertræning og bedre rapporteringskultur. Træningsprogram igangsat.
PRINCIPPET

Sikkerhed er ikke en tilstand. Det er en kontinuerlig praksis, og en pentest er det øjeblik, hvor I ærligt finder ud af, hvor I står lige nu.

OFTE STILLEDE SPØRGSMÅL

Hvad er forskellen på en pentest og en sårbarhedsscanning?

En scanning tjekker automatisk for kendte sårbarheder. En pentest er udført af et menneske der forsøger at bryde ind kreativt, kombinerer fund, udnytter logikfejl og opdager fejl som automatiske scannere aldrig finder.

Hvad koster en pentest hos BestSecurity?

Fra 15.000 kr. for social engineering, 25.000 kr. for ekstern infrastruktur, 30.000 kr. for applikationspentest og 35.000 kr. for intern infrastruktur. Alle priser ekskl. moms.

Er retest inkluderet i prisen?

Ja. Retest af kritiske og høj-fund er gratis inden for 90 dage. I modtager dokumentation for at hullerne reelt er lukket, vigtigt for forsikring, certificering og bestyrelse.

Hvad indeholder leverancen?

Executive summary, teknisk rapport med screenshots og replikeringstrin, prioriteret risiko-rangering (Kritisk/Høj/Medium/Lav), mundtlig debrief og gratis retest af kritiske fund inden for 90 dage.

Lad os tage en uforpligtende scope-samtale.

30-60 minutter på telefonen eller video. Vi taler om hvad I gerne vil have testet og hvorfor. Derefter får I en fast pris og en konkret tidsplan, så beslutter I om I vil videre.