Pentest
Een penetration test (pentest) zorgt ervoor dat een ethisch hacker de kwetsbaarheden in dagelijks gebruikte software, netwerken en systemen ontdekt. Den Ouden Informatiebeveiliging kan een pentest uitvoeren om u adviezen te geven over hoe u uw netwerk of uw systemen beter kunt beveiligen.
Een pentest is een geautoriseerde gesimuleerde cyberaanval op een systeem (netwerk, web, app) uitgevoerd om de beveiliging te evalueren. Het doel van een pentest is om kwetsbaarheden in het systeem te vinden die een kwaadwillende zou kunnen uitbuiten. Dit kan het testen van zowel de fysieke en digitale beveiligingsmaatregelen van het systeem omvatten.
We testen o.a. netwerkapparatuur, servers, webapplicaties, en eindgebruikersapparaten. De methode bootst een aanval na van kwaadwillende externe of interne bronnen, en kan variëren van het scannen van poorten tot gerichte aanvallen op specifieke applicaties of diensten, met behulp van dezelfde technieken als een aanvaller. Welke test het beste past bij uw wens kunnen we samen bepalen.
Wat levert penetration testing op?
- Inzicht in de kwetsbaarheid van uw systemen in duidelijke taal.
- Heldere adviezen over de beveiligingsmogelijkheden van uw netwerk en software.
De eerste stap naar een optimale beveiliging van uw klantgegevens en andere gevoelige data is gezet. Wanneer de adviezen zijn doorgevoerd, is het mogelijk om een hertest uit te laten voeren. Met deze hertest bepalen wij in welke mate uw informatiebeveiliging verbeterd is.
Pentest types
Elke organisatie is anders en maakt gebruik van andere systemen. Voor elke organisatie is dus een andere werkwijze gewenst. Om ervoor te zorgen dat de uitkomst van een pentest bijdraagt aan de informatiebeveiliging van uw organisatie, is er keuze uit drie verschillende type testen. Hieronder nemen we de verschillende types met u door. Natuurlijk is het combineren van verschillende opties mogelijk. Bijvoorbeeld: starten met een Black Box Pentest om daarna naar een White Box Pentest te gaan. Ook is het mogelijk te starten met een Social Engineering test om daarna naar een netwerk test over te gaan als Grey Box model.
Black box penetration testing
Bij een black box penetration test is er voorafgaand geen tot weinig informatie over het te testen systeem bij ons bekend. Door middel van ethisch hacken gaan we op zoek naar de kwetsbaarheden binnen uw systemen en/of netwerk.
Grey box pentest
Een grey box pentest is een combinatie van een black box pentest en een white box pentest. Voorafgaand aan de test is beperkte informatie beschikbaar. Denk hierbij aan een website met een gebruikersnaam en wachtwoord. Door de combinatie van de twee testen, wordt er een zo compleet mogelijk beeld gecreëerd van de kwetsbaarheden binnen uw systemen en/of netwerk.
White box penetration testing
Bij een white box pentest is voorafgaand aan de test veel informatie beschikbaar over uw organisatie. Er wordt geen echte hack gesimuleerd, maar kwetsbaarheden worden in de breedste zin in kaart gebracht. Wij krijgen namelijk volledige toegang binnen uw systemen waardoor we een goed beeld kunnen schetsen van zwakke plekken, zoals de kwetsbaarheid van een baliemedewerker tot het gebruikte softwaresysteem.
Wij voeren pentests altijd uit na het ondertekenen van een non-disclosure agreement (NDA). De NDA bevat onder andere de scope (grenzen) van het te testen systeem, een geheimhoudingsverklaring en de contactgegevens.
NDA
Wij voeren pentests altijd uit na het ondertekenen van een non-disclosure agreement (NDA). De NDA bevat onder andere de scope (grenzen) van het te testen systeem, een geheimhoudingsverklaring en de contactgegevens.
Contact opnemenFasen van een pentest
Fase 1. Information Gathering
Via openbaar brononderzoek (Open Source Intelligence of ookwel OSINT genoemd) worden zaken onderzocht zoals WHOIS, DNS en uitgelekte wachtwoorden. Er wordt zo veel mogelijk informatie verzameld over het te testen systeem.
Fase 2. Threat Modeling
In deze fase worden de onderwerpen die uit Fase 1 naar voren zijn gekomen beoordeeld op waarde. Zo kan geïdentificeerd worden welke informatie waardevol is en kan de aanvalsmethodiek worden bepaald.
Fase 3. Vulnerability Analysis
In deze fase wordt er naar kwetsbaarheden gezocht in de te testen omgevingen (API en achterliggende systemen). De testen worden uitgevoerd door tooling die geautomatiseerd zoeken naar bekende kwetsbaarheden. Daarnaast wordt er ook handmatig gezocht naar kwetsbaarheden in de omgeving en achterliggende systemen.
Fase 4. Exploitation
In deze fase is het bedoeling door middel van de gevonden kwetsbaarheden ook daadwerkelijk toegang te verkrijgen tot het systeem. Dit is de bevestiging van de vorige fase. Exploitation wordt gedaan in overleg met de opdrachtgever.
Fase 5. Post-Exploitation
De fase na binnenkomst; hoe ver kan er nu gegaan worden? Is het mogelijk andere systemen te benaderen? Is het mogelijk hogere rechten te krijgen?
Fase 6. Rapportage
Het doel is uiteindelijk om de bevindingen te rapporteren. Dit wordt in deze fase gedaan.
Onze rapportage is opgebouwd uit in ieder geval de volgende onderdelen:
- Heldere managementsamenvatting. Hierin wordt opgenomen welke kwetsbaarheden gevonden zijn en een advies hoe dit moet worden aangepakt.
- Overzicht met kwetsbaarheden aangevuld met een scoretabel (informative, low, medium, high, critical). Score vindt plaats volgens Common Vulnerability Scoring System (CVSS).
- Technische rapportage. Hierin worden alle bevindingen uitgebreid besproken.
- Replay en Proof of Hack (PoH) worden uiteengezet. Aangevuld met screenshots en begeleidende teksten.
- Advies m.b.t. de gevonden kwetsbaarheid.
- Alle ruwe data en materialen worden gedeeld inclusief instellingen en opties van de gebruikte applicaties. Dit wordt als bijlage toegevoegd.
De bevindingen worden beschreven en gewogen. Het rapport wordt uiteindelijk mondeling toegelicht. Kritieke bevindingen worden direct gemeld aan de contactpersoon.
Pentest Nederland en buitenland
De afgelopen jaren hebben wij al vele organisatie, overheidsinstellingen en multinationals in binnen- en buitenland geholpen met het tijdig ontdekken van kwetsbaarheden in hun software en/of netwerk. Het belang van een goed beveiligde infrastructuur wordt steeds groter. Hackers worden steeds slimmer, wat betekent dat de methodes die zij toepassen om in te breken ook veranderen. Middels trainingen die wij volgen, zijn we altijd up-to-date als het gaat om nieuwe methodes.
Gecertificeerd pentesten
We zijn in het bezit van o.a. certificaten van OffSec, EC-Council, TCM en Skillsoft.
MEER INFORMATIE OVER SECURITY TESTEN?
Voor meer informatie over de verschillende soorten testen, verwijzen we ook graag naar deze blog. Ook kun je vrijblijvend contact met ons opnemen.