Sikkerhetstesting
God sikkerhet handler om mer enn bare teknologi – det handler om å være forberedt på trusler. Vi i Semaphore tilbyr skreddersydd sikkerhetstesting som skal gjøre dere motstandsdyktige når den neste trusselen banker på døren. Vi leverer dyp innsikt i sikkerhetstilstanden og gir dere en fordel ved angrepsforsøk i fremtiden.
Alle våre leveranser inkluderer en detaljert rapport med sikkerhetsrelevante funn, risikovurderinger og våre anbefalinger. Rapporten kan tilpasses etter hvem som skal bruke den – enten dere trenger teknisk dybde for IT-teamet eller en lettfattelig oversikt for styret.
Vårt team med sikkerhetskonsulenter har lang erfaring med sikkerhetstesting, sårbarhetsvurderinger og er aktive sikkerhetsforskere. Vi har bistått alt fra små virksomheter til store internasjonale selskaper, og fått svært gode tilbakemeldinger på både metodikk og rapportering.
App-sikkerhetstest
Vi identifiserer og utnytter sårbarheter i web-, mobil- og skyløsninger (Azure, AWS, GCP m.fl.) før reelle trusselaktører gjør det
Infrastrukturtesting
Testing av lokale, hybride og skybaserte miljøer (inkludert Active Directory og Entra ID) for å finne feilkonfigurasjoner, svak passordpraksis og reelle angrepsvektorer
Testing av adgangskontroller, overvåkning og andre fysiske sikkerhetstiltak for å hindre inntrengning og fysisk kompromittering
Kartlegging av eksponerte systemer, lekkede brukerdata og feilkonfigurerte tjenester ved hjelp av vårt egenutviklede OSINT-verktøy
Testing av sikkerheten i industrielle kontrollsystemer (ICS), SCADA og andre OT-miljøer for å avdekke sårbarheter og sikre mot digitale og fysiske trusler
Red Team-øvelser
Simulerte, målrettede angrep som kombinerer digitale, fysiske og menneskelige metoder for å teste forsvarsevne og deteksjon
Social engineering
Realistiske tester av phishing, vishing, smishing og fysiske forsøk på manipulasjon for å måle ansattes sikkerhetsbevissthet og rutiner
Sikkerhetstest av AI
Gjennomgang av konfigurasjon, databehandling og sårbarheter i AI-løsninger for å sikre trygg bruk
«Hacker-kveld»
Sosial sammenkomst med faglig innhold der vi kjører kurs, quiz og en konkurranse, for eksempel i låsedirking der vi stiller med alt av utstyr og opplæring
App-sikkerhetstest
De fleste moderne virksomheter er avhengige av web-, mobil- og skyløsninger for daglig drift. Trusselaktører leter kontinuerlig etter svakheter i slike applikasjoner – enten de er egenutviklede, levert av tredjepart eller driftet i skyen. Vi avdekker sårbarheter før de blir et reelt problem, og hjelper dere med å tette hullene før noen utnytter dem.
Vår metodikk følger anerkjente standarder (OWASP, NIST) og inkluderer testing av:
-
Autentisering og autorisasjon – Sikring av innloggingsløsninger og tilgangsstyring for å hindre uautorisert tilgang
-
Kodegjennomgang – Identifisering av sårbarheter i kildekoden som kan føre til sikkerhetsbrudd
-
Skyløsninger – Evaluering av sikkerhetskonfigurasjoner i cloud-miljøer (Azure, AWS, GCP m.fl.) for å avdekke feilkonfigurasjoner, svak tilgangsstyring og eksponerte ressurser
-
Injeksjonsangrep – Testing for blant annet SQL-injeksjon, XSS, SSRF og andre input-baserte angrep.
-
Sesjonshåndtering – Evaluering av hvordan applikasjonen beskytter aktive brukersesjoner
-
API-sikkerhet – Testing av backend-tjenester og integrasjoner for autentisering og databeskyttelse
-
Dataeksponering – Avdekking av utilsiktet eksponering av sensitive data via feilmeldinger, dårlig tilgangsstyring eller svake konfigurasjoner
Vi tester både web- og mobilapplikasjoner, og kombinerer manuell testing med automatiserte verktøy for å sikre best mulig dekning. Teamet vårt holder seg kontinuerlig oppdatert på de nyeste sårbarhetene og teknikkene, og har avdekket kritiske feil for noen av Norges største virksomheter.
Med vår ekspertise får dere en klar oversikt over risikoene, prioriterte tiltak og konkrete anbefalinger – slik at applikasjonene deres står imot både dagens og morgendagens trusler.
Infrastrukturtesting
Et robust IT-miljø krever mer enn brannmurer og antivirus. Feilkonfigurasjoner, svak passordpraksis og dårlig segmentering gir ofte trusselaktører mulighet til å bevege seg fritt i nettverket og kompromittere kritiske systemer.
Vi har omfattende erfaring med testing av lokale (on-premises), hybride og skybaserte miljøer – inkludert tradisjonelle Active Directory-oppsett og moderne Entra ID-integrasjoner. Vår metodikk kombinerer sårbarhetsskanning, manuell testing og “assumed breach”-scenarier der vi simulerer en angriper som allerede har fått fotfeste i miljøet.
Vi ser blant annet på:
-
Nettverkskartlegging og segmentering – Analyse av nettverksstruktur for å avdekke utilstrekkelig isolering mellom systemer
-
Brukerkontoer og passordpolicy – Sjekk for svake passord, passordgjenbruk og bruteforce-sårbarheter
-
Active Directory-konfigurasjon – Avdekking av overprivilegerte kontoer, feilkonfigurasjoner og kjente angrepsvektorer
-
Hybrid- og skyløsninger – Evaluering av samspillet mellom lokal AD og skyplattformer (Azure, Microsoft 365, AWS m.fl.)
-
Simulering av avanserte angrep – Testing av teknikker som privilegie-eskalering, “kerberoasting” og omgåelse av autentiseringsmekanismer
-
Prinsippet om minste privilegium – Vurdering av unødvendige tilganger og risikoene de medfører
Med vår tilnærming får dere en tydelig oversikt over reelle risikoer, praktiske angrepsveier og prioriterte tiltak for å styrke infrastrukturen – uansett om den befinner seg lokalt, i skyen eller i et hybridmiljø.
Fysisk penetrasjonstest
Selv den beste cybersikkerheten hjelper lite hvis en angriper enkelt kan ta seg inn i bygget. Når fysiske sikkerhetstiltak svikter, kan trusselaktører stjele utstyr, plassere skadelige enheter eller omgå digitale forsvar. Vi tester hvor motstandsdyktig din virksomhet er mot reelle, målrettede fysiske angrep.
Vi vurderer blant annet:
-
Adgangskontroller – Testing av kortlesere, nøkkelkort og andre autentiseringssystemer
-
Sikkerhetsbarrierer – Evaluering av låser, gitter, sperringer og andre fysiske hindringer
-
Overvåkning og deteksjon – Vurdering av kameraovervåkning, alarmsystemer og evnen til å oppdage uvedkommende
-
Uautoriserte enheter på nettverket – Testing av hvordan virksomheten oppdager og håndterer ukjente eller skadelige enheter som kobles til
-
Sikkerhetsrutiner og responstid – Evaluering av hvordan ansatte og systemer håndterer sikkerhetsbrudd
Vi har lang erfaring med fysisk sikkerhet for store nasjonale aktører og driver aktiv forskning på sårbarheter i IoT-enheter som kameraer og rutere. Med vår ekspertise kan vi hjelpe dere å sikre bygget mot uønsket inntrengning – før noen tester grensene for dere.
OSINT-test
Open Source Intelligence (OSINT) handler om å samle inn informasjon fra åpne kilder – akkurat slik en reell trusselaktør ville gjort – for å kartlegge deres digitale angrepsoverflate. Vi benytter både anerkjente metoder og vårt egenutviklede OSINT-verktøy for å avdekke informasjon som kan utnyttes i et angrep.
Vi kartlegger blant annet:
-
Historiske DNS- og domenedata – Oversikt over gamle og nåværende domener, subdomener og DNS-konfigurasjoner
-
Eksponerte IP-adresser og infrastruktur – Identifisering av servere, skytjenester og nettverk som er offentlig tilgjengelige
-
Informasjon fra sosiale medier – Analyse av hva ansatte og virksomheten deler som kan avsløre interne systemer, teknologi eller prosesser
-
Data fra jobbannonser og offentlige dokumenter – Innsikt i sikkerhetsrutiner, teknologi og verktøy i bruk
-
Lekkede passord og brukerdata – Søk i tidligere datainnbrudd for å avdekke kompromitterte kontoer tilknyttet virksomheten
OSINT gir et realistisk bilde av hva som er synlig for en angriper – og når det kombineres med penetrasjonstesting, kan vi også demonstrere hvordan denne informasjonen faktisk kan utnyttes.
OT-sikkerhetstesting
Operasjonell teknologi (OT) er selve kjernen i kritisk infrastruktur som fabrikker, kraftverk og industrielle anlegg. Mange OT-systemer er utviklet for tilgjengelighet og stabilitet – ikke sikkerhet. Kombinasjonen av eldre teknologi, økt digitalisering og sammenkobling med IT-nettverk gjør dem til attraktive mål for trusselaktører.
Vi tester OT-miljøer for å avdekke sårbarheter som kan true både drift, sikkerhet og personell, med særlig fokus på industrielle kontrollsystemer (ICS), SCADA og IoT-enheter.
Vi vurderer blant annet:
-
Nettverkssegmentering – Hvor godt OT-systemer er isolert fra IT-nettverket for å begrense spredning av trusler
-
Utdatert programvare og systemer – Identifisering av systemer som er sårbare eller ikke lenger mottar sikkerhetsoppdateringer
-
Protokollsikkerhet – Testing av industrielle kommunikasjonsprotokoller for svakheter som kan utnyttes
-
Tilgangsstyring – Gjennomgang av autentiserings- og autorisasjonsmekanismer for å hindre uautorisert tilgang
-
Fysisk sikkerhet – Evaluering av hvordan angripere kan få fysisk tilgang til kritiske enheter eller nettverksutstyr
Med erfaring fra store internasjonale OT-prosjekter og aktiv forskning på maskinvare og IoT-sårbarheter, kan vi hjelpe dere å beskytte kritiske systemer mot både digitale og fysiske trusler.
Red Team-øvelser
En Red Team-øvelse gir en helhetlig vurdering av hvor godt virksomheten er rustet mot avanserte, målrettede angrep – både tekniske, fysiske og menneskelige. I motsetning til tradisjonelle penetrasjonstester som fokuserer på enkeltsystemer, vurderer Red Team hele organisasjonen som en potensiell angrepsflate.
Vi etterligner metodene, teknikkene og prosedyrene (TTP-er) til reelle trusselaktører, og benytter verktøy og tilnærminger brukt i faktiske angrep. Øvelsen gjennomføres i tett samarbeid med virksomheten, men med minimal forhåndskunnskap hos de som skal testes for å sikre realistiske resultater.
Vi tester blant annet:
-
Deteksjon og respons – Hvor raskt og effektivt sikkerhetsteamet oppdager og håndterer uvanlig aktivitet
-
Emulering av trusselaktører – Tilpasning av angrepsmetoder basert på relevante aktører for deres bransje
-
Kombinasjon av teknikker – For eksempel fysisk infiltrasjon og sosial manipulasjon for å oppnå tilgang til kritiske ressurser
-
Omgåelse av sikkerhetsverktøy – Testing av hvordan EDR, brannmurer og andre forsvar kan forbigås
-
Dataeksfiltrasjon – Demonstrasjon av hvordan sensitiv informasjon kan forlate virksomheten uten å bli oppdaget
Resultatet er ikke bare en liste med funn, men en detaljert rapport som evaluerer deteksjonsevne, reaksjonstid og motstandsdyktighet – sammen med konkrete anbefalinger for å styrke forsvarsverket.
Social engineering
Mennesker er både den viktigste sikkerhetsmekanismen og den største angrepsflaten. Social engineering, eller sosial manipulasjon, handler om å påvirke personer til å avsløre informasjon eller utføre handlinger som kan utnyttes av en trusselaktør – ofte uten at offeret forstår at det skjer.
Vi gjennomfører realistiske tester for å avdekke hvor sårbar virksomheten er for denne typen angrep, og for å måle ansattes bevissthet og rutiner.
Vi tester blant annet:
-
Phishing – Målrettede e-poster eller meldinger som forsøker å lure ansatte til å oppgi passord eller klikke på skadelige lenker
-
Vishing (Voice Phishing) – Telefonsamtaler der en angriper utgir seg for å være en kollega, kunde eller teknisk support
-
Smishing (SMS Phishing) – Manipulerende SMS-er med ondsinnede lenker eller forespørsler
-
Fysisk social engineering – Forsøk på å få fysisk tilgang til bygg eller rom, eller hente ut informasjon ved personlig oppmøte
Teamet vårt innehar Certified Ethical Social Engineer (CESE)-sertifiseringen fra Social-Engineering LLC – en av de mest anerkjente i bransjen – som bekrefter vår kompetanse og metodiske tilnærming.
Gjennom våre tester får dere et tydelig bilde av hvor godt virksomheten står imot sosial manipulasjon, og vi gir konkrete tiltak for å styrke både kultur, opplæring og motstandskraft.
Sikkerhetstest av AI
Kunstig intelligens (AI) brukes i stadig større grad til å effektivisere prosesser, analysere data og skape nye tjenester. Men med nye muligheter følger også nye sikkerhetsrisikoer – spesielt når AI integreres i forretningskritiske systemer eller driftes internt.
Vi gjennomfører grundige sikkerhetsvurderinger av AI-løsninger, enten det gjelder interne språkmodeller, åpne AI-rammeverk eller integrasjoner med skytjenester som Azure, AWS eller GCP.
Vi vurderer blant annet:
-
Konfigurasjon og tilgangsstyring – Om oppsettet er sikkert og om uvedkommende kan få tilgang via feilkonfigurasjon
-
Datahåndtering og personvern – Hvordan data mates inn, lagres og sikres mot uautorisert innsyn
-
Prompt injection og modellmanipulering – Testing av hvor lett modellen kan påvirkes gjennom ondsinnet input
-
Logging og overvåkning – Om AI-bruken kan spores og kontrolleres ved uønsket aktivitet
-
Leverandørkjede og avhengigheter – Sjekk av tredjepartsbiblioteker og modellkilder for å identifisere potensielle sårbarheter
Målet er å sikre AI-bruken på en måte som både støtter innovasjon og ivaretar sikkerhet og etterlevelse. Med vår kombinerte erfaring innen applikasjonssikkerhet, skyplattformer og moderne trusselmodeller kan vi hjelpe dere med å bygge en trygg plattform for videre AI-utvikling.
«Hacker-kveld»
Vil dere lære mer om sikkerhet på en engasjerende og praktisk måte? Vår «Hacker-kveld» kombinerer faglig innhold med sosiale aktiviteter for å styrke sikkerhetskulturen i organisasjonen – uten å bli en kjedelig presentasjon i møterommet.
Kvelden starter med et foredrag skreddersydd til deres bransje og behov, der vi deler innsikt, eksempler og “war stories” fra ekte hendelser. Temaer kan være alt fra applikasjonssikkerhet og OT-sikring til phishing-angrep og hvordan trusselaktører jobber.
Deretter følger en sosial og praktisk del, for eksempel:
-
Låsedirkingskonkurranse med opplæring og utstyr
-
Sikkerhetsquiz med spørsmål tilpasset virksomhetens virkelighet
-
Workshop i et valgt sikkerhetstema, med praktiske øvelser
Vi tilpasser innholdet til både teknisk og ikke-teknisk personell, slik at alle får utbytte. Målet er å skape engasjement, bygge bevissthet og gjøre sikkerhet til et tema som engasjerer – også etter at kvelden er over.