De flesta dataintrång börjar inte med avancerade exploits. De börjar med att någon hittar en glömd subdomän, en öppen port eller ett certifikat som gått ut. External Attack Surface Management (EASM) är metoden för att hitta sådana problem innan en angripare gör det.

Den här guiden går igenom vad EASM är, vad det typiskt upptäcker, och hur ni sätter upp kontinuerlig övervakning via pentesting.se, Adminors egen EASM-plattform.

Vad är attackytan?

Er externa attackyta är allt som är synligt från internet och kopplat till ert företag. Inte bara den primära webbsajten, utan också:

  • Subdomäner, även glömda sådana
  • API-endpoints
  • Mail-servrar, SMTP-relän, IMAP
  • DNS-records (MX, SPF, DMARC, TXT)
  • SSH-portar, RDP-portar, databasportar som blivit exponerade
  • Admin-paneler (WordPress wp-admin, cPanel, Plesk)
  • Staging-miljöer och dev-subdomäner
  • Tredjepartstjänster som använder era domäner (GitHub Pages, Firebase, S3-buckets)
  • TLS-certifikat och deras utgångsdatum
  • Molnresurser i AWS, Azure, GCP knutna till era domäner

Ju större organisation, desto större lista. Och den förändras löpande. Ny subdomän här, utgånget cert där, en utvecklare som råkar exponera en databas.

Traditionell sårbarhetsscanning vs EASM

Traditionell scanning kör ni en gång i kvartalet. En konsult stänger in sig en vecka, kör Nessus eller Burp, levererar en 80-sidig PDF. Två dagar efter leveransen har någon driftsatt en ny tjänst som inte finns i rapporten.

EASM fungerar annorlunda:

AspektTraditionell scanningEASM
FrekvensKvartalsvis eller engångsKontinuerligt
OmfattningDefinierad scope-listaAuto-upptäckt av nya assets
PerspektivIntern + externUteslutande extern (som en angripare ser det)
DetektionNuläge vid scantillfälletLöpande larm vid förändring
KostnadHög per engagemangLöpande abonnemang

EASM och pentest fyller olika funktioner. En pentest går djupare, försöker exploatera och rapporterar affärsrisk. EASM håller koll på ytan däremellan och fångar upp majoriteten av de problem som leder till verkliga intrång: glömda system, felkonfigurationer och synliga sårbarheter.

Vad EASM typiskt upptäcker

Från flera hundra scans genom pentesting.se är detta de vanligaste observationerna:

Glömda subdomäner som svarar på HTTPS. Gamla kampanjsajter, staging-miljöer, subdomäner som pekar på molnresurser ni inte längre äger. Klassisk vektor för subdomain takeover.

Exponerade databaser. PostgreSQL på 5432, MongoDB på 27017, Elasticsearch på 9200. Ofta inkluderat av misstag när brandväggen konfigurerats.

SSH utan key-only-autentisering. Port 22 exponerad mot internet med lösenord-login aktiverat. Brute force-försök pågår kontinuerligt.

Utgångna eller snart utgående TLS-cert. Let’s Encrypt-förnyelse som kraschat, cert som går ut inom 14 dagar.

WordPress med kända sårbarheter. Föråldrade plugins, exponerad wp-admin utan IP-restriktion, xmlrpc.php öppen.

DNS-konfigurationsfel. Saknad SPF, felaktig DMARC, öppen zone transfer, NS-records som pekar på bortflyttade providers.

CVE-träffar i öppna tjänster. En gammal OpenSSH-version, ett Apache med känd sårbarhet, en Exim med CVE som inte patchats.

Shadow IT. Tjänster som en avdelning satt upp utan IT-kännedom. Typiskt Firebase-instanser, Vercel-deployments eller Cloudflare Pages kopplade till domänen.

Hur EASM-scanning fungerar tekniskt

Ett EASM-scan kombinerar flera metoder:

  1. DNS-enumeration via Certificate Transparency-loggar, brute force mot ordlistor och passiv DNS-data
  2. Portscanning (TCP SYN-scan) mot de hittade hostarna
  3. TLS-probing som hämtar cert, kollar utgångsdatum, cipher suites och HSTS
  4. HTTP-fingerprint som identifierar CMS och versioner via headers och responsmönster
  5. CVE-matchning mot NVD-databasen baserat på detekterade versioner
  6. Configuration-checks för security headers, DNS-records (SPF/DKIM/DMARC), cookies och CORS
  7. Change detection som jämför mot tidigare scan och larmar på nya assets eller förändringar

Pentesting.se kör dessa steg parallellt mot era domäner på schemalagd basis och presenterar findings prioriterade efter allvarlighetsgrad.

EASM för Adminor-kunder: kom igång

Om ni redan hostar hos Adminor är uppsättningen enkel.

1. Lista era domäner och tjänster

Börja med era publika domäner. Inkludera allt:

  • Primär domän (exempel.se)
  • Alla subdomäner ni känner till (app.exempel.se, mail.exempel.se, staging.exempel.se)
  • Domäner ni äger men inte aktivt använder
  • Domäner som partners driver åt er men där ni äger varumärket

Om ni är osäkra, lägg in huvuddomänen och låt EASM-motorn hitta subdomänerna åt er. Det är ofta där de mest intressanta upptäckterna finns.

2. Registrera på pentesting.se

Skapa ett konto på pentesting.se, verifiera domänägarskap (DNS-TXT-record eller HTTP-fil), och starta första scan. En scan mot en medelstor domän tar typiskt 15–60 minuter.

3. Sätt upp kontinuerlig övervakning

Aktivera dagliga eller veckovisa scans. Konfigurera notifieringar via e-post eller webhook. Kritiska findings (exponerade databaser, utgångna cert, CVE:er med CVSS ≥ 7) larmar direkt.

4. Tolka resultaten

Findings är inte alltid exploaterbara sårbarheter. De är observationer om er externa yta. En öppen port 25 kan vara er mail-server eller en glömd SMTP-relä. Er uppgift är att avgöra vilket.

Verktyget kategoriserar findings i:

  • Kritiska (exponerade admin-paneler, CVE med aktiv exploit, läckta credentials)
  • Hög (föråldrade tjänster, svaga TLS-config, saknade säkerhetsheaders)
  • Medel/informativt (informationsläckage, best practice-avvikelser)

5. Åtgärdsflöde

För Adminor-drivna servrar kan vi hantera de flesta findings direkt via supportärende:

  • Stänga exponerade portar via brandvägg
  • Förnya eller rotera TLS-cert
  • Patcha OS-paket med kända CVE:er
  • Härda SSH-konfiguration
  • Sätta upp fail2ban eller WAF-regler

Hör av er till supporten så tar vi hand om åtgärder som ligger inom er hosting-miljö.

Vad EASM inte gör

För att sätta förväntningar rätt: EASM ser bara det som är synligt utifrån.

  • Ingen autenticerad skanning bakom inloggning
  • Ingen intern nätverksanalys (VLAN, VPN-only-tjänster syns inte)
  • Ingen kodgranskning (SAST/DAST för egen kodbas kräver andra verktyg)
  • Ingen penetrationstest med exploit-försök

Tänk på EASM som en kontinuerlig bevakning av ytan. Pentesten är en djupgående undersökning.

Vanliga frågor

Hur ofta ska man scanna?

För de flesta: dagligen eller veckovis. Dagliga scans fångar upp nya assets snabbt. Veckovisa räcker för mindre organisationer med stabil miljö.

Stör EASM-scanning mina tjänster?

Nej. Moderna EASM-plattformar är designade för låg belastning. Pentesting.se rate-limitar scans för att undvika att trigga WAF eller generera onödig trafik.

Vad händer om ett finding är false positive?

Markera det som FP i plattformen. Systemet lär sig och tystar liknande findings framöver.

Hjälper EASM mot NIS2 och DORA?

Ja. Kontinuerlig attackyt-övervakning är en av de konkreta åtgärder som NIS2 och DORA förväntar sig. Rapportexporten från plattformen kan användas som evidens vid revision.

Måste jag hosta hos Adminor för att använda pentesting.se?

Nej. Pentesting.se är en fristående plattform. Som Adminor-kund får ni däremot tillgång till kombinerad support där hosting-teamet och säkerhetsteamet åtgärdar findings tillsammans.

Läs mer

Fler säkerhetsartiklar finns på pentesting.se/sv/blog: subdomain takeover, DNS-säkerhet, WordPress-härdning och hur ni tolkar CVE-rapporter.

Nästa steg

  1. Skapa konto på pentesting.se
  2. Verifiera er huvuddomän
  3. Kör första scan
  4. Kontakta Adminor-support för åtgärder på hosting-drivna findings

Eller hör av er direkt via kontaktsidan så går vi igenom er miljö tillsammans.