No items found.
Tjänster
Penetrationstester
Sårbarhetsskanningar
Red teaming
Incidenthantering
Sårbarhetsskanning med AI
AI Security Testing
Kurser
Säker utveckling
IT-säkerhetsutbildning
KUNDCASE
Företaget
Om oss
Karriär
Kontakta oss
Kunskapsbank
Research
Nyheter
Artiklar
Guider
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
SV
SV
Sveriges flagga med blå bakgrund och gul kors.
Swedish
Union Jack, Storbritanniens flagga med kors och diagonala kors i rött, vitt och blått.
English
kontakta oss
PRISER
Gå tillbaka
Link Copied!
Copy link
Featured

Vad är ett penetrationstest? En guide för företag

March 13, 2026
0
min läsning

Penetrationstest i korthet

Ett penetrationstest, eller pentest, är en kontrollerad och auktoriserad attack mot era IT-system. En certifierad säkerhetsspecialist försöker ta sig in i era system på samma sätt som en verklig angripare skulle göra, med målet att hitta svagheter innan någon annan gör det.

Företag genomför pentester för att förstå hur väl deras säkerhet faktiskt håller. Inte bara på papper, utan i praktiken. Det ger en konkret bild av vilka risker som finns och vad som behöver åtgärdas, formulerat på ett sätt som går att agera på. Vi har koll på det här, Cyloq har genomfört 500+ granskningar och identifierat 670+ kritiska sårbarheter hos svenska företag och organisationer.

Vilka typer av penetrationstester finns?

Vilket test som passar beror på vad ni vill skydda. De vanligaste testerna ser ut så här:

Webbapplikationstest

Ett webbapplikationstest granskar säkerheten i webbaserade tjänster, inloggningsfunktioner, formulär och dataflöden. Det passar er som har en kundinriktad webbtjänst eller en intern webbapplikation som hanterar känslig information.

API-test

Ett API-test fokuserar specifikt på hur era API:er hanterar autentisering, behörighetskontroll och dataexponering. Det är särskilt viktigt för organisationer som integrerar tjänster med externa parter eller exponerar API:er mot kunder och partners.

Test av extern infrastruktur

Ett test av extern infrastruktur granskar allt som är synligt mot internet, brandväggar, servrar, DNS och publika tjänster. Det är ett bra första test för organisationer som vill förstå vad en angripare egentligen ser och kan utnyttja utifrån, utan att ens ha någon förkunskap om er miljö.

Internt nätverkstest

Ett internt nätverkstest simulerar ett scenario där en angripare redan tagit sig in, till exempel via ett lyckat nätfiskeförsök eller ett komprometterat konto. Det är rätt val när ni vill förstå hur långt en intern angripare faktiskt kan röra sig i miljön och vad som är åtkomligt om perimeterskyddet brister.

Molntest

Ett molntest granskar konfigurationer i Azure, AWS eller Google Cloud. Det passar särskilt er som migrerat till molnet nyligen eller som byggt ut era molntjänster. Felkonfigurationer är en av de vanligaste orsakerna till dataintrång i molnmiljöer och något traditionella nätverkstester sällan täcker.

Active Directory-test

Ett Active Directory-test granskar hur väl er AD-miljö är skyddad mot attacker som privilege escalation, lateral movement och Kerberoasting. Det är relevant för i princip alla organisationer som kör Windows-baserade miljöer, och extra viktigt om ni hanterar känsliga system eller har många användare med olika behörighetsnivåer.

Mobilappstest

Ett mobilappstest granskar säkerheten i iOS- och Android-applikationer, hur data lagras lokalt, hur kommunikationen med back-end sker och om det går att manipulera appens beteende på sätt som inte var tänkt. Det passar alla som har en app i produktion som hanterar användardata eller är kopplad till känsliga back-endsystem.

Boka ett möte med oss så ser vi vilket test som passar er bäst.

När bör ett företag göra ett pentest?

Det finns ett antal situationer där ett pentest är särskilt motiverat:

  • Inför en produktlansering. Ett av de bästa tillfällena att testa, när ni fortfarande kan åtgärda fynd innan de når era användare.
  • Efter en större systemförändring. En migrering till molnet eller en ny integration introducerar nästan alltid nya risker.
  • Vid efterlevnadskrav. NIS2, ISO 27001 och PCI-DSS ställer krav på att säkerheten faktiskt testas och dokumenteras, och ett pentest är ett av de mest konkreta sätten att möta dem.
  • Efter en säkerhetsincident. För att förstå hur angriparen tog sig in och säkerställa att vägen är stängd.

För system som hanterar känslig data rekommenderas pentest som rutin, minst en gång per år. Hotbilden förändras kontinuerligt, och ett test som genomfördes för 18 månader sedan säger ingenting om hur ni står er idag.

White box, grey box och black box — vad är skillnaden?

De tre varianterna skiljer sig åt i hur mycket information testaren får om systemet innan testet börjar, och valet påverkar både djup och kostnad.

Black box innebär att testaren startar helt utan förkunskaper, precis som en extern angripare. Det ger en realistisk bild av hur svårt det faktiskt är att ta sig in utifrån, men kan missa djupare sårbarheter som kräver mer tid och insyn att hitta.

White box ger testaren full tillgång till källkod, systemdokumentation och arkitektur. Det möjliggör en grundlig granskning och passar bra när ni vill maximera täckningen, till exempel inför en produktlansering eller ett större systemskifte.

Grey box är en kombination av de två. Testaren får begränsad information, som en inloggning eller en systemöversikt, vilket simulerar en angripare med viss insyn i miljön. Det är ofta det mest kostnadseffektiva alternativet för etablerade system och ger god täckning utan att kräva lika mycket tid som ett fullständigt white box-test.

Hur går ett penetrationstest till?

Processen följer ett strukturerat mönster oavsett vilket test det rör sig om:

Det börjar med ett inledande möte där ni och testteamet definierar vad som ska testas, vilka system som ingår och vad som är utanför ramarna. Här bestämmer ni tillsammans tidsplan, testmetod och spelregler för engagemanget.

Därefter kartlägger testaren miljön, samlar information om exponerade tjänster, domäner och potentiella ingångspunkter, utan att ännu försöka ta sig in.

Därefter följer en sårbarhetsanalys. Här identifieras och utvärderas de ingångspunkter som hittats. Felaktiga inställningar, gammal mjukvara och logikbrister kartläggs och prioriteras inför nästa steg.

Exploateringen är det som skiljer ett pentest från en sårbarhetsskanning. Testaren försöker aktivt utnyttja de sårbarheter som identifierats för att verifiera om de faktiskt går att nyttja i praktiken och hur långt ett angrepp kan gå.

Allt dokumenteras sedan i en rapport med tekniska beskrivningar, allvarlighetsgraderingar och konkreta åtgärdsförslag. Rapporten är inte rådata, utan ett underlag ni faktiskt kan jobba med.

Avslutningsvis hålls en avstämning där ni går igenom fynden tillsammans med teamet. Ni kan diskutera prioriteringar och få era frågor besvarade.

Ett typiskt test tar 1 till 4 veckor beroende på omfattning och testtyp.

Vad får man i en pentestrapport?

En välskriven pentestrapport är ett arbetsdokument, skriven för beslutsfattare som vill förstå riskbilden utan att behöva sätta sig in i de tekniska detaljerna. Den exekutiva sammanfattningen ger därför en icke-teknisk översikt av de viktigaste upptäckterna.

Varje sårbarhet klassificeras med en allvarlighetsgrad, vanligtvis enligt CVSS-skalan, från observationer till kritiska sårbarheter. Till varje fynd hör en teknisk beskrivning av hur sårbarheten fungerar, var den finns och vad den kan användas till. Dessutom finns reproduktionssteg antecknade som gör det möjligt för ert team att verifiera och förstå fynden mer i detalj.

Rapporten avslutas med konkreta åtgärdsförslag och en prioriteringsordning för vad som bör hanteras först. Det ska gå att fördela arbetet internt direkt efter genomgången.

Boka möte

Boka ett uppstartsmöte om pentest

Vet ni vad ni vill testa men inte riktigt hur? Eller är ni i ett tidigt skede och behöver hjälp att definiera scope? Boka ett uppstartsmöte med oss så reder vi ut det tillsammans.

Boka möte

FAQ

Vanliga frågor om penetrationstester

Hur lång tid tar ett penetrationstest?

Ett typiskt pentest tar mellan 1–4 veckor från start till rapport. Omfattningen beror på systemets storlek, antal tillgångar i scope och vilken testtyp som väljs. Enklare webbapplikationer kan vara klara på en vecka, medan en full Active Directory-granskning tar längre.

Vad kostar ett pentest?

Priset varierar från cirka 30 000 kr för ett mindre avgränsat test till 250 000 kr eller mer för en omfattande granskning av flera system. Faktorerna som styr priset är scope, testtyp och tidsåtgång. Läs mer i vår separata prisguide.

Vad är skillnaden mellan pentest och sårbarhetsskanning?

En sårbarhetsskanning är automatiserad och identifierar kända sårbarheter i stor skala. Ett pentest är manuellt, djupare och inkluderar verifiering av fynd och hur de kan kombineras till en verklig attack.

Behöver små företag pentest?

Ja, särskilt om ni hanterar kunddata, persondata eller finansiell information. Angriparen bryr sig inte om företagets storlek, utan om vilka data som finns och hur svåråtkomliga de är. Mindre företag är ofta enklare mål eftersom säkerhetsnivån generellt är lägre.

Vilka certifieringar ska en pentester ha?

De mest erkända certifieringarna är OSCP, OSEP, GPEN, GWAPT och CREST. OSCP är branschstandard för hands-on-kompetens. Cyloqs team har OSCP-certifieringar och över 15 års samlad erfarenhet.

Home
Följ oss
Tjänster
Penetrationstester
Penetrationstester
Sårbarhetsskanningar
Sårbarhetsskanningar
Red teaming
Red teaming
Incidenthantering
Incidenthantering
Kurser
Säker Utveckling
Säker Utveckling
IT-Säkerhetsutbildning
IT-Säkerhetsutbildning
Företaget
Kontakt
Kontakt
Om Oss
Om Oss
Kundcase
Kundcase
Karriär
Karriär
hello@cyloq.se
+46 (0) 10 333 10 33
Till toppen
© 2025 - Cyloq AB - Org.nr: 559401-9027
Privacy Policy
Terms of Service
Cookies Settings