SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 18 - Penetration Testing

CIS Controls — 18. marts 2026

I dette afsnit gennemgår vi CIS Control 18: Penetration Testing.

Formålet med denne kontrol er at teste effektiviteten og robustheden af virksomhedens aktiver ved at identificere og udnytte svagheder i kontroller inden for mennesker, processer og teknologi. Testen simulerer en angribers mål og handlinger.

Penetration testing er en måde at vurdere, om virksomhedens sikkerhedsforanstaltninger faktisk virker i praksis.

Hvorfor er Control 18 vigtig?

Selv med stærke tekniske kontroller og gode politikker vil et forsvar sjældent være perfekt. Teknologi udvikler sig konstant, og nye angrebsmetoder opstår løbende.

Derfor bør virksomheden periodisk teste sine kontroller for at identificere svagheder og vurdere robustheden.

Penetrationstest kan udføres fra forskellige perspektiver, herunder ekstern netværksadgang, intern netværksadgang, applikationer, systemer eller fysiske kontroller. Test kan også omfatte social engineering.

Penetrationstest adskiller sig fra sårbarhedsscanning. Sårbarhedsscanning identificerer kendte svagheder, mens penetrationstest går videre og udnytter svagheder for at demonstrere, hvor langt en angriber kan komme, og hvilke forretningsmæssige konsekvenser det kan have.

Hvordan gennemføres penetration testing?

En penetrationstest starter med rekognoscering og scanning for at identificere sårbarheder, der kan bruges som indgangspunkter.

Det er vigtigt at sikre, at alle relevante aktiver er inkluderet i scope og ikke kun basere sig på statiske lister.

Derefter udnyttes identificerede sårbarheder for at demonstrere, hvordan en angriber kan omgå sikkerhedskontroller eller opnå bestemte mål, for eksempel adgang til følsomme data.

Testen kan omfatte netværk, systemer, applikationer og fysiske lag og kan indeholde social engineering elementer.

Penetrationstest er komplekse og kan indebære risici, herunder uventet nedlukning af systemer eller påvirkning af data. Derfor skal de udføres af kvalificerede og erfarne parter.

Testresultater skal beskyttes, da de kan indeholde detaljerede beskrivelser af, hvordan virksomheden kan kompromitteres.

Hvad skal man konkret have styr på?

Etabler og vedligehold et penetration testing program

Der skal etableres og vedligeholdes et program, der er tilpasset virksomhedens størrelse, kompleksitet, branche og modenhed.

Programmet skal definere

• Scope, herunder netværk, webapplikationer, API’er, hostede services og fysiske kontroller • Frekvens • Acceptable testperioder og begrænsninger • Point of contact • Hvordan fund håndteres og routes internt • Krav til efterfølgende evaluering

Udfør periodiske eksterne penetrationstest

Der skal udføres periodiske eksterne penetrationstest, mindst årligt.

Ekstern test skal omfatte rekognoscering for at identificere udnyttelig information og skal udføres af en kvalificeret part.

Test kan være clear box eller opaque box.

Afhjælp fund

Fund fra penetrationstest skal afhjælpes i henhold til virksomhedens dokumenterede proces for sårbarhedshåndtering.

Der skal fastlægges tidsrammer og prioritering baseret på påvirkning og risiko.

Valider sikkerhedsforanstaltninger

Efter en penetrationstest skal sikkerhedsforanstaltninger valideres. Om nødvendigt skal regler og detektionskapabiliteter justeres baseret på de teknikker, der blev anvendt under testen.

Udfør periodiske interne penetrationstest

Der skal udføres periodiske interne penetrationstest, mindst årligt, baseret på programmets krav.

Disse kan også gennemføres som clear box eller opaque box test.

Afslutning

CIS Control 18 handler om at teste virksomhedens faktiske modstandskraft mod angreb.

Det kræver et struktureret program, klart defineret scope, regelmæssige interne og eksterne tests, håndtering af fund og efterfølgende validering af sikkerhedsforanstaltninger.

Formålet er at identificere svagheder, før en reel angriber gør det, og styrke virksomhedens samlede sikkerhed.

Tak fordi du lyttede med.