Pentesting

Pentesting

Pentesting

Een groot gedeelte van alle organisatie is actief bezig met de beveiliging van hun bedrijf. Organisaties zijn fanatiek aan het digitaliseren. Het belang cybersecurity voor organisaties, werd pijnlijk duidelijk na ransomeware-attacks zoals Wannacry. Bij veel bedrijven bleken de beheersmaatregelen voor risico's met de ICT-voorziening niet effectief te zijn. De maatregelen waren niet voldoende getest. 

Wat is een Pentest

Een pentest is kort voor Penetratietest. Een pentest is onmisbaar bij het opstellen van een volledig beveiligingsplan, maar het kan ook prima worden ingezet als losstaande test. Een ethisch hacker zal uw beveiligingsmaatregelen voor cybersecurity op effectiviteit testen. Daarbij probeert hij niet alleen de technische middelen, zoals NextGen EndPoint Protection of een Managed Firewall te omzeilen, maar stelt hij ook de menselijke factor en het interne proces op de proef. 

Bij een pentest bedenkt een ethisch hacker manieren om in uw systeem in te breken. Afhankelijk van het type pentest horen daar werkzaamheden bij die mogelijk kunnen zorgen dat een systeem offline gaat. In de meest extreme vorm kan het zo zijn dat een systeem zodanig beschadigd wordt dat er een back-up dient te worden teruggezet.

Gelukkig komt dat laatste niet vaak voor, maar u dient hier als opdrachtgever wel rekening mee te houden. Het is dus belangrijk ervoor te zorgen dat er maatregelen zijn getroffen om schade te voorkomen en eventueel terug te kunnen draaien.

Misschien toch eerst een securityscan?

Een pentest is vaak veel handwerk waardoor het relatief veel budget vergt. Soms is het dan beter om eerst een geautomatiseerde securityscan uit te laten voeren. 

Zo'n scan vindt niet alleen al een hoop kwetsbaarheden die u dient te verhelpen, maar biedt ook input voor het bepalen van de scope voor uw pentest. Hoe specifieker de scope, hoe goedkoper de pentest.

Meer over securityscans

Securityscan.jpg

Verschillende typen Pentests

Er zijn verschillende typen pentesten. Wij voeren meestal Blackbox- en Whitebox-tests uit. Bij een Blackbox-test willen vooraf zo min mogelijk weten van uw applicaties, servers en/of infrastructuur. Daardoor kunnen we ons tijdens het testen gedragen zoals een kwaadaardige hacker vanaf het internet ook zou doen. Dit geeft u een realistisch beeld van een aanval.

Bij een Whitebox-test weten we wel meer over uw omgeving. We willen de documentatie van uw applicaties inzien, netwerktekeningen bekijken en soms tot zelfs de broncode. Op die manier kunnen we lekker vinden die anders, bijvoorbeeld bij een Blackbox-test, heel lastig te vinden zouden zijn. Overigens behandelen we bij een Whitebox-test dezelfde vragen als we bij een Blackbox-test zouden doen.

Bepaal wat u wilt testen

Als u echt een pentest wilt laten uitvoeren, is het belangrijk om van te voren goed te bepalen wat u precies wil laten testen. De scope van de test bepaalt namelijk de aard en ook de prijs van uw pentest. Een pentest voor het testen van een bedrijfsnetwerk levert hele andere vraagstukken op dan wanneer u uw active directory laat pentesten. Deze scope bepaalt ook hoeveel tijd we nodig zullen hebben, welke vaardigheden de ethisch hacker dient te hebben en uiteindelijk ook wat de pentest zal gaan kosten. 

Soms wil iemand een webapplicatie laten testen, zonder het onderliggende (web)server platform mee te nemen. Daar is in beginsel niets mis mee, mits u alleen iets wilt weten over kwetsbaarheden in de programmeercode. Problematisch wordt het als u na de pentest beweringen gaat doen over de complete webapplicatie. Code kan immers relatief veilig zijn, maar als de onderliggende webserver lekken heeft, kunt u alsnog gehackt worden.

Wat kunt u als klant verwachten?

Na het uitvoeren van de pentest wordt er op basis van de OWASP richtlijnen een rapport opgesteld. Dit rapport neemt uw security consultant persoonlijk met u door. In hetzelfde overleg kunt u samen met de security consultant besluiten of er beveiligingsmaatregelen verbeterd moeten worden en welke dat dan zijn. Het rapport, in combinatie met de mondelinge toelichting van de Security Consultant, geeft u een goed beeld van de kwetsbaarheden binnen uw organisatie. i4PROJECTS heeft een brede ervaring met het beheren en onderhouden van beveiligingsmaatregelen. Samen met onze Security Consultant kunt u er dan ook voor kiezen om een beveiligingsplan op te stellen.

U bent natuurlijk vrij om met de bevindingen van onze ethisch hacker naar een andere ICT-partij te gaan voor de uitvoering en het beheer van de beveiligingsmaatregelen. In dat geval is het wenselijk om deze partij bij de presentatie van de bevindingen van onze ethisch hacker te betrekken. 

Aan de slag met uw Security?

Wilt u een volledig plan voor de beveiliging van uw ICT-omgeving opstellen? We kunnen u begeleiden van begin tot uitvoering. Start nu met een vrijblijvend oriënterend gesprek met een van onze security consultants. We komen graag bij u langs 

Afspraak inplannen

Niels.png