Pentest

Naast onze preventieve vulnerability scans bieden we ook pentesten aan.

Bij een pentest gaan onze ethische hackers uw systemen onderzoeken op kwetsbaarheden. We proberen hierbij via verschillende manieren de zwakke plekken aan het licht te brengen. Dit doen we middels geautomatiseerde tools en door creatief denken.

De gevonden kwetsbaarheden worden nauwkeurig beschreven en worden op impact en risico geanalyseerd. Hierbij worden ook CVSS scores (Common Vulnerability Scoring System) toegediend.

Onze methodiek

Wij houden ons aan erkende standaarden van testmethodieken, zoals bijvoorbeeld het Open Web Application Security Project (OWASP). Dit zorgt ervoor dat we een pentest grondig en succesvol uitvoeren, en geeft onze opdrachtgevers zekerheid over de volledigheid van de pentest.

 Daarnaast bieden wij een mogelijkheid voor gecertificeerde pentest, zoals CISSP, CEH, OSCP en OSWP

Pentesten

Het pentest proces

We zorgen continu voor een betrokken aanpak omdat de impact van een pentest zowel tijdens als na gevolgen kan hebben. Daarnaast is vertrouwen en volledige transparantie essentieel.

Soms doen we in overleg een vulnerability scan vooraf. Deze zoekt tussen een set van toepassingen naar kwetsbaarheden, waarna er met een pentest specifieker naar het gevonden probleem kan worden gekeken.

Verder ziet het proces er als volgt uit;

  • Inventarisatie en vaststellen scope
  • Planning
  • Toegang systemen (in geval grey en white box pentest)
  • Uitvoeren pentest
  • Rapportage
  • Bespreking en evaluatie
  • Vervolgstappen

Scope intern

Routers/netwerk apparaten

IoT apparaten

Intranet

Scope extern

Login portalen

Remote Desktop Services (RDP)

Websites

Grip op IT Security - Cloud vulnerability

Pentest soorten

We onderscheiden drie verschillende soorten pentesten; de black box, grey box en white box. De meest geschikte pentest verschilt per situatie, voor meer informatie hierover neem gerust contact met ons op.

Black box

Bij een black box pentest is er geen kennis vooraf verstrekt door onze opdrachtgever. Hierdoor is het vergelijkbaar met hoe hackers een echte aanval zouden uitvoeren. Er is geen kennis over het systeem of documentatie beschikbaar. Deze aanpak verplicht ethische hackers om onderzoek naar openbare bronnen te doen, ook wel OSINT genoemd: Open-Source Intelligence. In dit geval wordt als het ware de buitenste beschermlaag van de IT getest.

Grey box

Dit betreft een combinatie van black en white box pentesten. De ethische hacker krijgt wat informatie over het systeem, zoals netwerk topologie en documentatie, en eventueel beperkte toegang. Hiermee kan erg gericht en efficiënt ge(pen)test worden. Doordat de hacker informatie over het systeem heeft kunnen de meest kwetsbare componenten getest worden en wordt er geen tijd besteed aan zichzelf bekend maken met het systeem.

Ook kunnen hiermee de interne componenten getest worden. Juist bij de interne componente zijn vaak kwetsbaarheden te vinden zijn omdat er vaak een focus ligt op bescherming vanaf de buitenkant (die bij een black box getest kan worden).

White box

In deze situatie is alle informatie over het systeem beschikbaar voor de ethische hackers. Dit kan documentatie en toegang tot alle systemen zijn, maar ook source code en rollen/rechten matrix bevatten. Hierbij kan er dus bijvoorbeeld analyse gedaan worden over de code zelf in plaats van het zoeken naar  kwetsbaarheden in aanvallende zin.

Pentesten

Rapportage

Na een pentest volgt er een rapportage met de uitslagen en adviezen erin verwerkt. Zowel voor management als technisch personeel is het duidelijk wat er voor resultaat uit is gekomen en welke eventuele vervolgstappen dienen te worden genomen. 

Grip op IT Security - Scan rapportage

Bekijk meer vragen op onze veelgestelde vragen pagina

Grip op IT Security - IT Security Vulnerability Scan

Ga voor zekerheid

Neem contact op

Kies voor optimale IT-security en maak vrijblijvend een afspraak.