Manuell penetration testing — PenetrationTesting.no

Automatiske skannere og AI-verktøy har sin plass — de finner volum og kjente signaturer raskt. Men de kan ikke etterligne menneskelig skjønn, kreativitet og evnen til å kjede sammen svakheter over tid. Derfor gjør vi ting forskjellig:

Forståelse av kontekst Vi vurderer forretningslogikk, roller og arbeidsflyter — ikke bare CVE-er.
Kjedede angrep Vi utforsker flere steg som sammen fører til reell kompromittering (lateral movement, privilege escalation).
Adaptive testing Våre testere endrer taktikk basert på funn og sanntidsobservasjoner.
Ingen malbasert “rapport” Resultatene er forklarte, prioriterte og handlingsrettede — ikke en automatisk loggdump.

Hvorfor vi ikke stoler på «automatiske» løsninger alene

Automatiske verktøy og AI er gode på repetisjon og mønstergjenkjenning, men de har iboende begrensninger:

  • Trent på historiske data: AI gjentar mønstre den er trent på — den oppdager ikke nødvendigvis nye angrepsveier som utnytter forretningsspesifikk logikk.
  • Mangler kreativ kjeding: Verktøy finner enkeltstående sårbarheter, men ser sjeldent hvordan flere små svakheter kombineres.
  • Falske positiver / negativer: Maskinrapportering krever menneskelig verifisering for å prioritere reelle risikoer.
  • Ingen sosial ingeniør-tilpasning: Ekte angripere bruker sosial kontekst — vi simulerer dette manuelt når avtalt.
  • Ingen sanntids beslutningstaking: Mennesker kan følge uforutsette spor og stoppe eller endre testløpet ved behov.

Slik gjennomfører vi en manuell penetration test

1. Scope & avtale Vi definerer omfang, kommunikasjonskanaler, stoppkriterier og signerer avtale + NDA dersom ønskelig.
2. Rekognosering Offentlig info og intern dokumentasjon brukes for å finne realistiske inngangspunkter.
3. Menneskedrevet testing Vi kjører målrettede tekniske og logiske tester — ingen automatiske «full-scan»-rapporter som sendes ukritisk.
4. Kjedetesting Vi forsøker å kjede funn for å forstå reell konsekvens (fra foothold til full access hvor relevant).
5. Verifisering Alle funn verifiseres manuelt og dokumenteres med bevis og gjenopprettingsforslag.
6. Rapport & oppfølging Prioritert rapport, tekniske detaljer, CVSS + risikoreduserende tiltak. Vi tilbyr oppfølgende review eller workshop.

Hva du får levert

Samlet oversikt

Prioriterte funn med konsekvensvurdering.

Teknisk bilag

Detaljer for utvikling/IT for rask utbedring.

Reproduksjon & bevis

Hvordan vi fant sårbarhetene—skritt for skritt (og bevis hvor mulig).

Handlingsplan

Kortsiktige og langsiktige tiltak, estimert innsats og prioritering.

Etikk, lovlighet og ansvar

Alle tester utføres kun etter skriftlig samtykke. Vi tilbyr NDA ved behov, har faste stopp-kriterier og følger ansvarlig disclosure ved funn som påvirker tredjeparter. Vi dokumenterer alt og sørger for at testene gir høy verdi uten unødig risiko for systemene dine.

Vanlige spørsmål

Hvordan skiller dette seg fra en automatisert skanning?

Automatiserte skannere gir ofte mange treff uten kontekst. Våre manuelle tester prioriterer reell risiko, verifiserer funn og finner kjedede angrep og forretningslogikk-feil.

Hvor lenge tar en typisk test?

Avhenger av omfang. En basis ekstern web-test er ofte 2–5 arbeidsdager, mens mer komplekse interne tester eller full kjeding kan ta lengre tid.

Kan dere også hjelpe med utbedring?

Ja. Vi leverer klare tekniske beskrivelser og kan hjelpe i etterkant med verifisering av utbedringer eller teknisk rådgivning (tilleggstjeneste).

Vil du ha en test som gir reell innsikt — ikke bare datapunkter?

Kontakt oss for en uforpliktende samtale om omfang og pris. Vi hjelper deg velge riktig tilnærming.

Scroll to Top