Hoppa till innehållet
Avanet
Sophos Advisory Services säkerhetstestning

Sophos Advisory Services: Security Testing av experter

Med Sophos Advisory Services utökar Sophos sin portfölj av säkerhetstjänster med proaktiva säkerhetsgranskningar. Grundtanken är enkel: en organisation bör inte först under en attack upptäcka om den egna miljön verkligen är motståndskraftig. Bättre är ett kontrollerat test där erfarna säkerhetstestare granskar miljön ur en angripares perspektiv, påvisar svagheter och ger konkreta rekommendationer.

Det låter först som klassisk penetration testing, och det är precis där Sophos börjar. Advisory Services är dock bredare än en enskild “scan”. Det handlar om tekniska tester, tydlig målformulering, belastbara findings, prioritering, rapportering för tekniska och icke-tekniska mottagare och, för kritiska eller höga findings, även validering av remediation inom 90 dagar.

Det är viktigt att placera tjänsten rätt: Sophos Advisory Services ersätter inte Sophos MDR, ersätter inte Sophos Managed Risk och är inte akut hjälp vid en pågående attack. Det är det proaktiva rådgivnings- och testlagret däremellan: granska, förstå, prioritera, förbättra.

Vad är Sophos Advisory Services?

Sophos Advisory Services är expertledda säkerhetsgranskningar. Sophos beskriver dem som oberoende, proaktiva Security Testing-tjänster där nätverk, system, applikationer och, beroende på uppdrag, även organisatoriska säkerhetsaspekter granskas mot verkliga angreppsmetoder.

Tjänsten levereras av Sophos Red Team och andra säkerhetsexperter. Metodiken bygger på insikter från Sophos X-Ops, Incident Response-uppdrag, Threat Hunting och många testprojekt. Testet ska därför inte bara gå igenom kända checklistor, utan också ta hänsyn till aktuella angripartaktiker.

Det praktiska värdet ligger i fyra frågor:

  • Var finns svagheterna som angripare faktiskt skulle kunna utnyttja?
  • Hur långt skulle en angripare komma utifrån, internt, via Wi-Fi eller genom en webbapplikation?
  • Vilka tekniska och organisatoriska åtgärder minskar risken mest?
  • Vilka resultat kan visas begripligt för ledning, partners, revisorer eller cyberförsäkringsgivare?

Resultatet är inte bara “godkänt/underkänt”. Ett bra test visar vad som granskades, vad som hittades, hur kritiskt ett finding är, vilken realistisk påverkan det har och vad som konkret måste ändras.

De fyra tjänster som finns tillgängliga nu

Sophos presenterade fyra Security Testing-erbjudanden vid lanseringen. Fler Advisory Services kan tillkomma senare, men dessa fyra utgör för närvarande kärnan.

External Penetration Testing

External Penetration Testing granskar miljön ur en extern angripares perspektiv. Fokus ligger på publikt nåbara system som webbplatser, VPN-portaler, fjärråtkomst, e-postinfrastruktur, API:er, webbservrar, molntjänster eller andra internetexponerade tjänster.

Testet besvarar framför allt dessa frågor:

  • Vilka system är synliga utifrån?
  • Är tjänster felkonfigurerade eller föråldrade?
  • Finns kända sårbarheter som kan utnyttjas?
  • Går det att uppnå initial åtkomst till miljön?
  • Vilka åtgärder minskar den externa attackytan?

External pentesting är särskilt användbart när nya tjänster publiceras, efter större infrastrukturförändringar, inför revisioner eller när den verkliga externa attackytan är oklar. Det kompletterar också kontinuerliga exposure-arbetssätt som Sophos Managed Risk, men ersätter dem inte. Managed Risk övervakar och prioriterar löpande. Ett pentest går djupare vid en viss tidpunkt och försöker kontrollerat visa vad en angripare skulle kunna uppnå.

Internal Penetration Testing

Internal Penetration Testing utgår från att en angripare redan finns i nätverket eller att ett användarkonto har komprometterats. I praktiken är detta ett realistiskt scenario: phishing, stulna inloggningsuppgifter, osäker VPN-åtkomst eller en infekterad klient räcker ofta för att få ett första fotfäste.

Det interna testet granskar till exempel:

  • om segmentering verkligen fungerar,
  • om privilegierad åtkomst är för brett tilldelad,
  • om servrar, klienter och managementsystem är separerade,
  • om lokala administratörsrättigheter kan missbrukas,
  • om lateral movement är möjligt,
  • om känsliga data går att nå från interna system.

Just här syns ofta skillnaden mellan arkitektur på papper och verklighet. Ett nätverk kan se tydligt segmenterat ut i diagram, men i vardagen vara betydligt mer genomsläppligt på grund av undantag, äldre system, öppna managementportar eller svaga behörigheter. Interna tester är därför en bra reality check för Zero Trust-, segmenterings- och hardeningprojekt.

Wireless Network Penetration Testing

Wireless Network Penetration Testing granskar Wi-Fi-säkerheten. Sophos skiljer mellan passiva och aktiva kontroller.

En passiv granskning observerar radiotrafik och letar efter problem som rogue access points, oväntade SSID:n, svag kryptering, felkonfigurationer eller enheter som inte passar in i säkerhetsmodellen. En aktiv granskning går längre och simulerar angreppsförsök, till exempel mot autentisering, kryptering eller åtkomstkontroller.

Typiska frågor är:

  • Är företags-Wi-Fi, gäst-Wi-Fi och interna nät tydligt separerade?
  • Används starka autentiseringsmetoder?
  • Finns oönskade access points eller felkonfigurerade enheter?
  • Kan en angripare kringgå skyddsmekanismer?
  • Motsvarar Wi-Fi-konfigurationen interna säkerhetspolicyer?

Wi-Fi underskattas i många miljöer eftersom det ses som “bara” ett åtkomstlager. I verkligheten är det ofta en direkt bro in i interna nät. Ett wireless test är särskilt värdefullt på kontor med känsliga områden, produktionsanläggningar, utbildningsmiljöer, vård, retail eller miljöer med många gäster och mobila enheter.

Web Application Security Assessment

Web Application Security Assessment granskar webbapplikationer efter säkerhetsproblem. Det omfattar klassiska sårbarheter som SQL Injection, Cross-Site Scripting, bristfällig autentisering, Broken Access Control, Security Misconfiguration, osäker sessionshantering eller designproblem i applikationen.

Sophos beskriver två möjliga perspektiv:

  • Black-box Testing: testaren har ingen intern information och granskar applikationen som en extern angripare.
  • White-box Testing: testaren får tillgång till källkod, arkitekturinformation eller teknisk dokumentation och kan därför testa djupare.

Vilken variant som är lämplig beror på målet. Om man vill veta vad en extern angripare kan uppnå utan förkunskap passar Black-box Testing. Om en ny applikation ska granskas ordentligt före go-live är White-box Testing ofta mer värdefullt, eftersom även strukturella problem i kod eller design blir synliga.

Web Application Assessments är särskilt relevanta för kundportaler, shoppar, interna webbverktyg, API:er, partnerportaler, inloggningsytor och applikationer med personuppgifter eller affärskritiska data.

Hur ett Advisory-engagement vanligtvis går till

Ett bra säkerhetstest börjar inte med verktyg, utan med scope och mål. Det är precis vad Sophos betonar för Advisory Services: testerna ska vara målstyrda och bedöma systemen i miljöns sammanhang.

1. Fastställa mål och scope

Före testet måste det vara tydligt vad som granskas och vad som inte granskas. Det omfattar:

  • målsystem, domäner, IP-intervall, applikationer eller platser,
  • tillåtna testtyper och exkluderade åtgärder,
  • tidsfönster och underhållsfönster,
  • kontaktpersoner för tekniska och verksamhetsfrågor,
  • eskaleringsvägar vid kritiska findings eller driftstörningar,
  • testkonton och nödvändiga åtkomster,
  • hantering av produktionsdata.

Denna fas är viktig eftersom Security Testing alltid kan påverka miljön. Ett aktivt test mot Wi-Fi, en webbapplikation eller ett internt nät får inte okontrollerat störa driften. Ju bättre scope och regler är definierade, desto mer användbart och säkert blir resultatet.

2. Genomföra testet

Under testfasen arbetar säkerhetsexperterna med en kombination av manuell analys, tooling, erfarenhet och aktuella Threat Intelligence-insikter. Skillnaden mot en ren sårbarhetsskanning är att findings inte bara rapporteras, utan också bedöms och om möjligt valideras.

En scanner kan säga: “Här kan det finnas en sårbarhet.” Ett bra pentest svarar dessutom: “Är den exploaterbar? Under vilka förutsättningar? Hur långt kommer man med den? Vilken är den verkliga påverkan? Vilken åtgärd hjälper faktiskt?”

3. Dokumentera resultaten

Efter avslut levererar Sophos en rapport. Enligt Sophos riktar den sig till både tekniska och icke-tekniska mottagare. Det är viktigt, eftersom en rent teknisk rapport ofta inte hjälper ledningen, medan en ren managementrapport är för vag för administratörer.

En användbar rapport bör därför minst innehålla:

  • sammanfattning för ledning och riskansvariga,
  • tekniska findings med bevis,
  • allvarlighetsgrad och realistisk påverkan,
  • berörda system och testat scope,
  • prioriterade rekommendationer,
  • konkreta remediation-steg,
  • råd om snabba korrigeringar och strukturella förbättringar.

Prioriteringen är avgörande. Många organisationer har fler findings än tid. En bra rapport hjälper till att först åtgärda de sårbarheter som verkligen är exploaterbara, exponerade eller affärskritiska.

4. Validera kritiska och höga findings

En värdefull punkt på Sophos-sidan är Remediation Validation: för åtgärdade findings med kritisk eller hög allvarlighetsgrad ingår validering inom 90 dagar. Det är praktiskt, eftersom det skapar en faktisk kontrollslinga och inte bara en PDF.

För driften betyder det att kritiska och höga findings snabbt bör bli tickets, tilldelas en owner och kontrolleras igen efter remediation. Annars förblir testet en ögonblicksbild utan varaktig effekt.

Avgränsning mot MDR, Managed Risk och Incident Response

Sophos har numera flera säkerhetstjänster vars namn lätt blandas ihop. Skillnaderna är viktiga.

Advisory Services vs. Sophos MDR

Sophos MDR är en löpande Managed Detection and Response-tjänst. Analytiker övervakar signaler, upptäcker hot och reagerar på aktiva attacker eller misstänkt beteende beroende på avtalad modell.

Advisory Services är däremot projektbaserade tester och assessments. De granskar om kontroller, applikationer, nätverk eller Wi-Fi är angripbara. MDR bevakar löpande aktiva hot. Advisory Services bedömer hur väl försvaret är förberett.

Advisory Services vs. Sophos Managed Risk

Sophos Managed Risk är en löpande tjänst för sårbarhets- och attack surface management. Den identifierar externa assets, bedömer risker, prioriterar sårbarheter och hjälper till att kontinuerligt minska öppna attackytor.

Advisory Services fungerar annorlunda: det är tidsbegränsade, manuella eller starkt expertledda granskningar. Ett external pentest kan till exempel validera hur långt en angripare verkligen skulle komma. Managed Risk ger den löpande vyn över attackytan. Båda kompletterar varandra väl.

Advisory Services vs. Compromise Assessment

Ett Sophos Compromise Assessment besvarar en annan fråga: är miljön redan komprometterad eller finns tecken på en pågående eller tidigare attack?

Advisory Services frågar i stället: var skulle en attack kunna lyckas om någon försökte? Det handlar alltså om prevention och resiliens, inte primärt om forensisk jakt på redan aktiva angripare.

Advisory Services vs. Emergency Incident Response

Om en organisation just nu attackeras är ett penetration test inte rätt startpunkt. Då behövs Incident Response, inneslutning, analys och återställning. Advisory Services är tänkt för fasen före eller efter: före en attack för att minska risken, efter stabilisering för att förbättra strukturen.

När Sophos Advisory Services är värt det

Advisory Services är särskilt användbart när en organisation inte bara vill ha “mer säkerhet”, utan behöver svara på konkreta frågor.

Före go-live eller efter stora förändringar

Nya webbapplikationer, ny VPN-arkitektur, nya molntjänster, nytt Wi-Fi-koncept eller större nätverkssegmentering bör inte visa sina svagheter först i produktion. Ett riktat assessment före go-live kan förhindra mycket dyrt efterarbete.

Före revisioner, certifieringar eller cyberförsäkringar

Många krav från NIS2, ISO 27001, PCI DSS, SOC 2 eller cyberförsäkringar handlar inte bara om befintliga verktyg, utan om påvisbara processer, tester och riskreduktion. Ett Advisory-engagement ersätter ingen certifiering, men kan ge viktiga bevis och konkreta förbättringar. För kopplingen mellan reglering och säkerhetsåtgärder passar även artikeln om NIS 2-direktivet.

När intern säkerhet antas men inte är bevisad

Många miljöer verkar stabila tills de testas medvetet. Interna tester visar ofta gamla adminrättigheter, platta nätverk, öppna managementportar, oskyddade servicekonton eller saknad segmentering. Särskilt efter flera års organisk tillväxt är denna externa blick på den interna världen värdefull.

Som komplement till MDR, XDR, NDR och firewallskydd

Detection-and-Response-tekniker är starka, men besvarar inte varje preventionsfråga. En organisation kan använda Sophos Firewall NDR Active Threat Intelligence, XDR eller MDR och ändå ha svagheter i Wi-Fi, webbapplikationer eller intern segmentering. Advisory Services hjälper till att hitta dessa luckor på ett riktat sätt.

Vad som bör förberedas före ett test

Security Testing är inget man “bara gör”. God förberedelse avgör om testet ger användbara resultat eller bara skapar stress.

Klargör direkt

  • Vilka system och applikationer ingår i scope?
  • Vilka system får uttryckligen inte testas?
  • Finns produktionssystem med särskild risk?
  • Vilka underhållsfönster är möjliga?
  • Vem är teknisk kontaktperson?
  • Vem får fatta riskbeslut?
  • Vilka loggkällor övervakas under testet?

Förbered före testet

  • Dokumentera testgodkännande och juridisk tillåtelse.
  • Skapa kontaktlista med nödnummer.
  • Kontrollera backups och återställbarhet.
  • Informera monitoring, SIEM, MDR eller SOC om testet.
  • Tillhandahåll testkonton med definierade rättigheter.
  • Dokumentera målsystem och versioner.
  • Involvera business owners för testade applikationer.
  • Kontrollera om change freeze behövs för kritiska system.

Operationalisera efter testet

  • Gör findings till tickets.
  • Prioritera kritiska och höga findings.
  • Definiera owner och förfallodatum per finding.
  • Separera quick wins från arkitekturfrågor.
  • Dokumentera remediation.
  • Planera validering inom 90-dagarsfristen.
  • Lägg återkommande granskningar i security roadmap.

Gränser och realistiska förväntningar

Sophos Advisory Services kan vara mycket värdefullt, men är inget magiskt säkerhetsbevis.

Ett test är alltid beroende av scope och tidpunkt. Det som inte ingår i scope granskas inte. Det som publiceras eller ändras efter testet kan skapa nya risker. En ren rapport bevisar därför inte att en miljö är “säker”. Den visar vad som testades inom den överenskomna ramen och vilka risker som hittades.

Viktigt också: tjänsten åtgärdar inte sårbarheter automatiskt. Den levererar findings, prioritering och rekommendationer. Genomförandet är fortfarande en uppgift för IT, utveckling, nätverksteam, säkerhetsteam, tjänsteleverantörer eller applikationsansvariga. Därför är en owner-modell efter testet så viktig.

Man bör dessutom skilja mellan passiva och aktiva tester. Ett aktivt test kan belasta system, utlösa larm eller orsaka oväntade bieffekter om scope och tidsfönster är dåligt definierade. Det är inget argument mot testing, men ett argument för god förberedelse.

Min bedömning

Jag tycker att Sophos Advisory Services är intressant framför allt eftersom Sophos utökar sin portfölj i en vettig riktning. Många organisationer har i dag bra skyddsprodukter, men för lite testad verklighet. Det finns Endpoint, Firewall, MDR, backups, policies och kanske några compliance-dokument. Den svåra frågan kvarstår: håller det när någon verkligen testar?

Det är exakt där Advisory Services passar in. Tjänsten är inte daglig övervakning som MDR och inte kontinuerlig sårbarhetshantering som Managed Risk. Den är den planerade reality checken. Särskilt värdefull blir den när resultaten inte hamnar i en låda, utan översätts till tickets, arkitekturbeslut, segmenteringsprojekt och återkommande reviews.

Min rekommendation: behandla inte Advisory Services som en engångsstämpel för audit. Bättre är ett litet program: först testa den externa attackytan, sedan kritiska webbapplikationer, därefter intern rörelse och Wi-Fi. Parallellt bör Managed Risk, MDR, logging och firewallreviews säkra löpande synlighet. Då uppstår en kontinuerlig förbättringsprocess i stället för en enskild rapport.

FAQ

Vad är Sophos Advisory Services?

Sophos Advisory Services är proaktiva Security Testing- och assessmenttjänster. Sophos-experter granskar nätverk, system, Wi-Fi eller webbapplikationer ur en angripares perspektiv och ger konkreta rekommendationer för riskreduktion.

Vilka tjänster finns tillgängliga just nu?

Vid lanseringen nämner Sophos fyra erbjudanden: External Penetration Testing, Internal Penetration Testing, Wireless Network Penetration Testing och Web Application Security Assessment.

Är Sophos Advisory Services samma sak som Sophos MDR?

Nej. MDR är en löpande Detection and Response-tjänst för aktiva hot. Advisory Services är projektbaserade säkerhetsgranskningar som synliggör sårbarheter och angreppsvägar.

Vad är skillnaden mot Sophos Managed Risk?

Managed Risk övervakar och prioriterar sårbarheter och externa attackytor kontinuerligt. Advisory Services granskar mer riktat och djupare, till exempel genom manuella penetration tests eller Web Application Assessments.

Ersätter ett penetration test en säkerhetsstrategi?

Nej. Ett test visar risker inom definierat scope och vid testtillfället. Därefter måste findings åtgärdas, kontroller förbättras, loggar övervakas och säkerhetsprocesser fortsätta.

Vad händer efter testet?

Sophos levererar en rapport med findings, bevis, bedömning och rekommendationer. Enligt Sophos ingår Remediation Validation inom 90 dagar för åtgärdade kritiska och höga findings.

För vem är Sophos Advisory Services särskilt användbart?

Tjänsten är användbar för organisationer som före go-live, audit, certifiering, cyberförsäkring, arkitekturförändring eller efter längre drift vill veta hur angripbar deras miljö verkligen är.

Kan Sophos Advisory Services hjälpa med NIS2 eller ISO 27001?

Ja, som stödjande bevis och för att förbättra säkerhetsläget. Tjänsten ersätter dock inte certifiering eller juridisk granskning av regulatoriska krav.

Mer information

David

David

David ansvarar for innehall, struktur och digital implementation hos Avanet. Hans fokus ar att gora komplexa tekniska amnen tydliga, precisa och sokvanliga.