Retest udfører sikkerhedsscanning

LLM/AI Pentest & Trusselsmodellering 

Der er et stigende antal applikationer hvor LLM og/eller andre former for AI bliver dybt integreret ind i applikationen. Dette medbringer en del nye potentielle risici som er vigtige at være opmærksom på, samt at klassiske sårbarheder i webapplikationer stadig kan findes i sådanne applikationer.

Fordele ved LLM/AI Pentest & Trusselsmodellering 

  • Få styr på sikkerheden i en forretningskritisk applikation
  • En komplet sikkerhedstest med tekniske værktøjer, manuelle test og ReTests erfaring kan afgøre, om applikationer kan modstå gængse trusler
  • Synliggør sårbarheder og konfigurationsfejl samt uhensigtsmæssig design i webapplikationens logik og tilknyttede APIer
  • Få DevSecOps-rådgivning og byg en sikker applikation fra bunden. Det er langt billigere

Derfor er trusselsmodellering også vigtigt 

Data flow diagram (DFD) of a simple LLM application with RAG

Vores metodik starter med en ”white-board hacking” workshop (let trusselsmodellering) hvor vi får udarbejdet data-flow-diagrams (DFD) for applikationen, og får identificeret vigtige fokuspunkter for testen. Denne workshop vil typisk inkludere vigtige stakeholdere hos jer. 

 Vi har valgt denne tilgang: 

  • Da en af de største problematikker i LLM-applikationer er at input-data hurtigt kan indeholde kritisk data. 
  • Antallet af ansatte og eksterne der kan manipulere med data jeres applikation bruger er oftest større end man først har antaget. 
  • At man ved at kunne manipulere den data LLM-modellen bruger, kan påvirke hvordan applikationen fungerer til fordel for en der forsøger at angribe applikationen.  
  • Det giver os et godt indblik ind i jeres løsning, hvilket gør at vi har de bedste forudsætninger for at kunne udføre en værdiskabende pentest. 

Hvis I ønsker, så er der mulighed for at udvide til en fuld trusselsmodellering af jeres applikation eller LLM/AI modul. En fuld trusselsmodellering vil blandt andet også være et godt startpunkt for at leve op til dele af EU AI Act artikel 9. 

Pentest af LLM/AI applikationer

Der er mange forskellige unikke sårbarheder og risici i denne type applikationer, derfor er der behov for at vi har dage der fokuserer 100% på LLM/AI delen af applikationen. Det sagt vil vi også inkluderer tid til at kigge på ”klassiske webapplikations sårbarheder”. Vores metodik stræber efter at, som minimum, adresserer relevante problematikker fremhævet i OWASP Top-10 for LLM Applikationer 2025.

Eksempler på testcases:

  • Tjekke om vi kan give input der kan lække kritisk data
  • Få applikationen til at agerer uhensigtsmæssigt
  • Angribe infrastrukturen omkring applikationen
  • Manipulerer ”business flows” til fordel for en angriber

Da området udvikler sig hurtigt, og der findes mange unikke måder at sammensætte sådanne applikationer på, anbefaler vi, at I booker et møde med en af vores konsulenter der kan forklare hvordan vi vil strukturere en pentest af jeres unikke applikation.  

Hvis I ønsker en detaljeret test, så er det også en mulighed at lave testen ”white-box” hvor konsulenten vil have mere kontekst gennem mulighed for at se indstillinger i jeres infrastruktur og kode.

Hvordan følger vi med i nye ændringer inden for LLM/AI sikkerhed, nu hvor teknologierne bevæger sig hurtigt? 

Inden for LLM og AI er udviklingen af nye metodikker, modeller, og teknologier hurtig. Derfor er det vigtigt at vores konsulenter følger med i hvad der er den nuværende state-of-the-art inden for LLM/AI sikkerhed. Dette gør vi, blandt andet, ved at løbende holde os opdateret via gode industri-ressourcer: 

  • Følge state-of-the-art forskning, præsenteret online og på industrikonferencer. 
  • Hands-on eksperimenter og certificering-/trænings-kurser.

Rapportering

Arbejdet munder ud i udarbejdelsen af en udførlig rapport, der dokumentere valg af metode og test cases og levere prioritering af sårbarheder og forslag til mitigering.

Rapporten vil være to-delt, et ledelsresumé der, i ikke tekniske termer, kort beskriver jeres aktuelle it-sikkerhedsniveau og dernæst et teknisk afsnit hvor de fundne sårbarheder beskrives og vigtigst af alt, hvordan I får dem udbedret og dermed vanskeliggør et potentielt angreb.

Vi vil gerne holde et afrapporteringsmøde med jer.

Tag fat i os nedenfor for at få en dummy-rapport tilsendt.

Læs om vores andre services

Jeg vil gerne ringes op

Benyt kontaktformularen, og vi vil ringe dig op inden for 12 timer.

11 + 10 =

Kontakt

Telefon

+45 77 41 44 14

Email

[email protected]

Adresse

Hørkær 26
2730 Herlev

Retest Security
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.