Uw bedrijf maakt dagdagelijks gebruik van technologie en beschikt over gevoelige data die vitaal is om optimaal te functioneren. Net zoals u uw fysieke assets beschermt (vb. de deuren van uw kantoor gaan ‘s avonds op slot), is het ook noodzakelijk om de digitale assets te beschermen.
Een pentest zorgt ervoor dat een ethisch hacker de kwetsbaarheden in dagelijks gebruikte software, netwerken en systemen ontdekt. De pentest van i-Force geeft jou snel inzicht over hoe jij jouw netwerk of systemen beter moet beveiligen.
Wat is een pentest ?
Een pentest of penetratietest geeft inzichtelijk waar de risico’s en kwetsbaarheden van systemen liggen. Een pentest gaat eigenlijk een stapje verder dan een vulnerability scan: waar een scan aangeeft waar de zwaktes liggen en dan stopt, worden deze zwaktes ook getest door ethical hackers bij een pentest.
Pentest soorten
Elke organisatie is anders en maakt gebruik van andere systemen. Voor elke organisatie is dus een andere werkwijze gewenst. Om ervoor te zorgen dat de uitkomst van een pentest bijdraagt aan de informatiebeveiliging van jouw organisatie, is er keuze uit drie verschillende type testen. Hieronder geven we de verschillende types weer:
Whitebox
Bij een White Box pentest – ook soms Crystal Box genoemd – geeft de opdrachtgever de ethical hackers al veel informatie over het bedrijf, denk aan de source code, functionaliteitenlijst, rollen/rechten matrix en de gedefinieerde scope. Zo kunnen de ethical hackers veel gerichter op zoek gaan naar de zwakke punten van de IT-infrastructuur, website, (mobiele) apps en meer.
Greybox
Een Grey Box-testen heeft voor de test het toegang- en kennisniveau van een gebruiker, mogelijk met verhoogde bevoegdheden op een systeem. Zo krijgt de tekster ook allerlei ontwerpdocumentatie voor een netwerk. Deze wordt gebruikt om vanaf het begin te richten op de systemen met het grootste risico en de grootste waarde, in plaats van tijd te besteden aan het zelf te moeten bepalen welke systemen de grootste risico’s bevatten. Het doel van Grey Box pentesting is dus om een meer gerichte en efficiënte beoordeling van de beveiliging van een netwerk te bieden dan een Black Box beoordeling.
Blackbox
Bij een Black Box pentest verstrekt de opdrachtgever vooraf geen informatie aan de ethical hackers. Met andere woorden: zij gaan de systemen (website, IT-infrastructuur, mobiele apps, API-koppelingen) aanvallen zoals echte hackers dit zouden doen, op zoek naar kwetsbaarheden die kunnen worden uitgebuit. Middels open bronnen onderzoek (OSINT) wordt de omgeving van de opdrachtgever van binnen en van buiten in kaart gebracht.
Veelgestelde vragen...
Een pentest gaat een stuk verder. De pentest is de meest uitgebreide manier om je omgeving op kwetsbaarheden te testen. Onze pentesters zoeken handmatig en geautomatiseerd met hun menselijk inzicht en vindingrijkheid naar kwetsbaarheden. Hierdoor zien we meer resultaat dan bij een automatische scan. Ze gebruiken daarbij diverse creatieve aanvalstechnieken, verschillende methoden en tooling zoals een web application scan. De web application scan is dus een onderdeel, een gebruikte tooling binnen het totale pentest proces.
Een web application scan controleert een website of webapplicatie op kwetsbaarheden via een volledig geautomatiseerde proces op basis van bekende beveiligingsfouten. Deze scans checken bijvoorbeeld op malware, de top 10 van OWASP en verouderde serversoftware.
Een vulnerabilityscan controleert op zwakheden binnen het netwerk (infrastructuur) via een volledig geautomatiseerde proces op basis van bekende beveiligingsfouten. Deze scans checken bijvoorbeeld op malware, de top 10 van OWASP en verouderde serversoftware. De vulnerabilityscan is een betaalbare dienst/tooling om de bekende kwetsbaarheden te ontdekken. Daarentegen bestaat de kans dat gedrag of een afwijkend patroon niet wordt ontdekt door een vulnerabilityscan vanwege missende intelligentie.
Een pentest heeft een doorloop tijd van 1 á 2 weken, de opstarttijd is meestal 1 maand. Je kan dus binnen 1,5 maand jouw organisatie pentesten. Natuurlijk hangt de doorlooptijd sterk af van de scope… hoe meer er in scope is, hoe langer / meer we dienen te testen.
Dit is een cruciale vraag. De ethische hackers van i-Force die de penetratietest uitvoeren, kunnen immers toegang krijgen tot al jouw gevoelige data. Er zijn een aantal kenmerken om een goedbedoelende Pentest-organisatie te herkennen. Een belangrijk punt is de beoordeling van de penetratietester. Certificaten zijn een goede graadmeter. Ook is het belangrijk dat de pentest uit mensenwerk bestaat. Als de pentest grotendeels geautomatiseerd is, is dit meestal een slecht teken. Menselijke intuïtie en creativiteit zijn cruciaal voor een penetratie test op maat.