LLM/AI Pentest & Trusselsmodellering
Der er et stigende antal applikationer hvor LLM og/eller andre former for AI bliver dybt integreret ind i applikationen. Dette medbringer en del nye potentielle risici som er vigtige at være opmærksom på, samt at klassiske sårbarheder i webapplikationer stadig kan findes i sådanne applikationer.
Fordele ved LLM/AI Pentest & Trusselsmodellering
- Få styr på sikkerheden i en forretningskritisk applikation
- En komplet sikkerhedstest med tekniske værktøjer, manuelle test og ReTests erfaring kan afgøre, om applikationer kan modstå gængse trusler
- Synliggør sårbarheder og konfigurationsfejl samt uhensigtsmæssig design i webapplikationens logik og tilknyttede APIer
- Få DevSecOps-rådgivning og byg en sikker applikation fra bunden. Det er langt billigere
Derfor er trusselsmodellering også vigtigt
Vores metodik starter med en ”white-board hacking” workshop (let trusselsmodellering) hvor vi får udarbejdet data-flow-diagrams (DFD) for applikationen, og får identificeret vigtige fokuspunkter for testen. Denne workshop vil typisk inkludere vigtige stakeholdere hos jer.
Vi har valgt denne tilgang:
- Da en af de største problematikker i LLM-applikationer er at input-data hurtigt kan indeholde kritisk data.
- Antallet af ansatte og eksterne der kan manipulere med data jeres applikation bruger er oftest større end man først har antaget.
- At man ved at kunne manipulere den data LLM-modellen bruger, kan påvirke hvordan applikationen fungerer til fordel for en der forsøger at angribe applikationen.
- Det giver os et godt indblik ind i jeres løsning, hvilket gør at vi har de bedste forudsætninger for at kunne udføre en værdiskabende pentest.
Hvis I ønsker, så er der mulighed for at udvide til en fuld trusselsmodellering af jeres applikation eller LLM/AI modul. En fuld trusselsmodellering vil blandt andet også være et godt startpunkt for at leve op til dele af EU AI Act artikel 9.
Pentest af LLM/AI applikationer
Der er mange forskellige unikke sårbarheder og risici i denne type applikationer, derfor er der behov for at vi har dage der fokuserer 100% på LLM/AI delen af applikationen. Det sagt vil vi også inkluderer tid til at kigge på ”klassiske webapplikations sårbarheder”. Vores metodik stræber efter at, som minimum, adresserer relevante problematikker fremhævet i OWASP Top-10 for LLM Applikationer 2025.
Eksempler på testcases:
- Tjekke om vi kan give input der kan lække kritisk data
- Få applikationen til at agerer uhensigtsmæssigt
- Angribe infrastrukturen omkring applikationen
- Manipulerer ”business flows” til fordel for en angriber
Da området udvikler sig hurtigt, og der findes mange unikke måder at sammensætte sådanne applikationer på, anbefaler vi, at I booker et møde med en af vores konsulenter der kan forklare hvordan vi vil strukturere en pentest af jeres unikke applikation.
Hvis I ønsker en detaljeret test, så er det også en mulighed at lave testen ”white-box” hvor konsulenten vil have mere kontekst gennem mulighed for at se indstillinger i jeres infrastruktur og kode.
Hvordan følger vi med i nye ændringer inden for LLM/AI sikkerhed, nu hvor teknologierne bevæger sig hurtigt?
Inden for LLM og AI er udviklingen af nye metodikker, modeller, og teknologier hurtig. Derfor er det vigtigt at vores konsulenter følger med i hvad der er den nuværende state-of-the-art inden for LLM/AI sikkerhed. Dette gør vi, blandt andet, ved at løbende holde os opdateret via gode industri-ressourcer:
- Følge state-of-the-art forskning, præsenteret online og på industrikonferencer.
- Hands-on eksperimenter og certificering-/trænings-kurser.
Rapportering
Arbejdet munder ud i udarbejdelsen af en udførlig rapport, der dokumentere valg af metode og test cases og levere prioritering af sårbarheder og forslag til mitigering.
Rapporten vil være to-delt, et ledelsresumé der, i ikke tekniske termer, kort beskriver jeres aktuelle it-sikkerhedsniveau og dernæst et teknisk afsnit hvor de fundne sårbarheder beskrives og vigtigst af alt, hvordan I får dem udbedret og dermed vanskeliggør et potentielt angreb.
Vi vil gerne holde et afrapporteringsmøde med jer.
Tag fat i os nedenfor for at få en dummy-rapport tilsendt.
Læs om vores andre services
Jeg vil gerne ringes op
Benyt kontaktformularen, og vi vil ringe dig op inden for 12 timer.