Penetratietest

De penetratietest is een effectieve test om uw huidige beveiliging te testen en preventief te verbeteren. Mist u beveiligingsmaatregelen en functioneren huidige beveiligingsmechanismes voldoende, worden inbraakpogingen wel opgemerkt en wat is uw response hierop?

Ontdek verborgen risico's in uw digitale beveiliging

Door hackers op een realistische wijze op uw systemen in te laten breken, krijgt u een helder inzicht in de digitale (onopgemerkte) risico’s die uw organisatie loopt.

Met de penetratietest verhoogt u preventief het niveau van uw beveiliging.

Onze specialisten nemen uw systemen net zoals echte cybercriminelen onder handen.

Creativiteit en kennis spelen een essentiële rol in het vinden van kwetsbaarheden die anders onopgemerkt bleven.

Elk digitaal systeem vormt een potentiëel risico voor uw organisatie

Onvio specialiseert zich in het uitvoeren van penetratietesten op allerlei soorten IT systemen en applicaties. Van een bedrijfsnetwerk tot geavanceerde webapplicaties en SCADA systemen.

Bedrijfsnetwerk

Een penetratietest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne netwerk kunnen binnendringen. Ook wordt er onderzocht of (kwaadwillende) medewerkers of gasten ongewenst data kunnen compromitteren van binnenuit de organisatie.

(Web)applicaties

Applicaties zoals websites, financiële systemen en portals vormen een toegangsdeur naar gevoelige data. Vaak zelfs vanaf het internet, wat kan leiden tot toegang tot het interne bedrijfsnetwerk. Een penetratietest haalt kwetsbaarheden in deze applicaties naar boven.

Mobile & webservices

Mobiele Apps en (web)services verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een penetratietest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de diensten.

SCADA

Steeds vaker zijn SCADA systemen gekoppeld aan het internet en bedrijfsnetwerken. SCADA systemen hebben vaak geen optimale beveiliging, wat ze een interessant doelwit maakt. Een penetratietest brengt kwetsbaarheden en risico's van deze systemen aan het licht.

Audits en assessments

Een penetratietest is vaak een verplicht onderdeel van audits voor DigiD, BIG, BIR of ISO27001. Een penetratietest in het kader van een IT assessment is gericht op het voldoen aan het normenkader. De rapportage is helder en direct bruikbaar voor een auditor.

Nulmeting

De penetratietest is het ideale instrument om de beveiliging van uw organisatie te inventariseren en in kaart te brengen. Met de nulmeting wordt de status quo bepaald van het digitale beveiligingsniveau van uw organisatie.

Uw organisatie weerbaar maken én houden tegen cyberrisico's

Een penetratietest is een essentieel onderdeel in het voeren van een sterk beveiligingsbeleid. Een penetratietest brengt niet alleen zwakheden in kaart maar controleert ook direct het functioneren van aanwezige beveiligingsmechanismen.

De penetratietest wordt in verschillende fases uitgevoerd. Dit houdt in dat er eerst een vooronderzoek plaatsvindt naar uw huidige situatie en infrastructuur. Naar aanleiding hiervan wordt er in samenspraak met de opdrachtgever een aanvalsplan opgesteld, welke de scope en inkadering van de test vastlegt.

Met het aanvalsplan in de hand wordt de daadwerkelijk uitvoering gestart waarbij legale hackers uw systeem onder handen nemen. Dit onderzoek resulteert in een helder en praktisch rapport, aan u overhandigd en gepresenteerd.

Een penetratietest van Onvio is niet slechts een geautomatiseerd proces om uw website te testen. Naast het draaien van diverse door Onvio ontwikkelde tools zullen ook onze specialisten uw beveiliging onder handen nemen.

Door hackers op een legale wijze op uw systemen in te laten breken, krijgt u inzicht in de kwetsbaarheden en beveiligingsfouten die zich mogelijk in uw website bevinden. Met de penetratietest verbetert én verhoogd u het niveau van beveiliging.
Wanneer de penetratietest

Uw systemen zijn continu onderhevig aan wijzigingen, het is belangrijk dat uw beveiliging regelmatig getest wordt. Met een periodieke penetratietest neemt u preventief stappen om de beveiliging van uw systemen op hoog niveau te houden. Er zijn meerdere momenten wanneer een penetratietest zinvol is:

  • In de acceptatiefase van een nieuw systeem of een nieuwe applicatie.
  • Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie.
  • Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken.
  • Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht. Bijvoorbeeld bij onvoldoende controle op de ontwikkeling of het beheer van web applicaties.

Voordat de uitvoering van een penetratietest gestart wordt, is het van belang dat er een onderzoek plaatsvind naar uw huidige situatie en de infrastructuur.

Dit vooronderzoek stelt ons in staat om samen met u een aanvalsplan op te stellen. Tevens wordt het in een later stadium gebruikt als voorbereidend werk op de daadwerkelijke uitvoering van de test.

Op een white- of blackbox (teststrategie met of zonder kennis van de interne structuur of omgeving) manier verkennen wij uw infrastructuur, dit houdt in dat wij onze legale hackers (ook wel ethische hackers genoemd) inzetten om een schets van de huidige situatie te maken.

Tijdens het vooronderzoek wordt een statische analyse uitgevoerd, waarbij nog geen inbraakpogingen worden verricht of lekken worden vastgesteld. Bij het vooronderzoek moet u onder andere denken aan zaken zoals;

Met het vooronderzoek op zak kunnen we in samenwerking met de opdrachtgever een aanvalsplan opstellen om beveiligingsrisico’s bloot te leggen.

Netwerkanalyse

Voordat een penetratietest traject van start gaat wordt er een analyse uitgevoerd. Deze analyse levert een rapport op welke het netwerk, de computers en applicaties in kaart brengt. Aan de hand van dit rapport kunnen er beveiligingsrisico’s en prioriteiten worden gemaakt.

Voor het maken van een netwerk analyse zal Onvio medewerking van de opdrachtgever nodig hebben. Een analyse omvat onder andere;

  • Inventarisatie servers
  • Inventarisatie computers
  • Overzicht van applicaties
  • Overzicht van gevoelige gegevens

Na de analyse kan mogelijk een vervolgtraject gestart worden; het uitvoeren van penetratietests. In dit traject zullen legale hackers de beveiliging proberen te omzeilen. Deze tests leiden tot waardevolle, praktische en concrete informatie welke direct gebruikt kan worden om de veiligheid te verhogen.

In navolging van het vooronderzoek zal er een aanvalsplan opgesteld worden om daadwerkelijk penetratietests uit te voeren. In het aanvalsplan wordt onder andere vastgelegd welke systemen en diensten betrokken worden, welke off limits zijn, of er een specifiek doel is (bijvoorbeeld bepaalde data achterhalen), in welke omgeving de test uitgevoerd wordt (live of test), op wat voor tijdstippen de test uitgevoerd wordt, wie er geïnformeerd moeten worden over de test en wie als aanspreekpunt fungeert tijdens de test.

Ook aspecten zoals de diepgang van de test worden in het aanvalsplan vastgelegd.

Moeten kwetsbaarheden alleen geconstateerd worden, of mogen zo ook uitgebuit worden om te bewijzen dat misbruik ervan leidt tot het achterhalen van gegevens uit uw database? Het misbruiken van gevonden kwetsbaarheden brengt een groter risico met zich mee waardoor de integriteit of beschikbaarheid van het systeem in gevaar kan komen.

Daarnaast wordt het soort test bepaald; blackbox, greybox, whitebox of crystalbox.

Blackbox
Bij deze manier van testen verstrekt de opdrachtgever geen enkele gegevens. De hacker gaat aan de slag met de test zonder voorkennis.
Greybox
De hacker krijgt gedeeltelijke informatie, bijvoorbeeld gegevens om een beveiligde omgeving in te komen. In een blackbox test komt de hacker wellicht nooit voorbij het login scherm en heeft dus niet de gelegenheid om aspecten in de beschermde omgeving te testen.
Whitebox
Bij deze manier van testen krijgt de hacker volledig inzicht in de infrastructuur van uw applicatie en de omgeving. Hierdoor kan de hacker aspecten testen die in een blackbox wellicht niet naar voren zouden komen.
Crystalbox
Deze methode houdt in dat de hacker niet alleen volledig inzicht in de infrastructuur krijgt, maar ook in de broncode en alle configuraties.

De duur van de penetratietest

Door het gebruik van een zogenaamde timebox, ofwel budgetbox, kan aan de hand van onze expertise en het vooronderzoek geadviseerd worden hoeveel dagen hackers nodig zouden hebben om het systeem voldoende te testen.

Naast de ervaring en expertise van onze specialisten wordt het advies onder andere gebaseerd op de hoeveelheid gevoelige klantgegevens die in uw systeem zijn opgeslagen. Het lekken van deze gegevens kan substantiële schade aan niet alleen uw omzet maar ook uw reputatie toebrengen.

De naamsbekendheid, het verkopen van klantgegevens door criminelen, de complexiteit en de populariteit van de applicatie maken het een gewild doelwit van hackers welke bovengemiddelde tijd zullen besteden aan het hacken hiervan.

Door de doorlooptijd van de penetratietest in het aanvalsplan op te nemen kan vooraf het budget vastgelegd worden. Hoever kan een hacker in 2 weken komen? Zoals ook in de fysieke wereld bestaat 100% veiligheid niet, “een aanvaller met de juiste kennis en gereedschap heeft minstens x uur nodig om een bankkluis open te krijgen”.

Met het definitieve aanvalsplan als richtlijn kunnen onze hackers aan de slag met de test.

Met het opgestelde aanvalsplan in de hand gaan legale hackers aan de slag en zullen proberen in te breken in uw systemen om beveiligingsrisico’s bloot te leggen. Op realistische wijze zullen wij trachten waardevolle data uit uw systemen te compromitteren en kwetsbaarheden vast te stellen.

Uw systeem wordt bekeken door de ogen van een hacker, hierin geven wij ze volledige vrijheid waarbij de continuïteit uiteraard niet in het geding mag komen. Alle gekoppelde systemen en omgevingen welke nuttig kunnen zijn om in te breken op uw web applicatie zullen gebruikt worden, conform het aanvalsplan.

Tijdens het uitvoeren van de test zullen de hackers alle geconstateerde kwetsbaarheden zorgvuldig vastleggen, om deze later te rapporteren. Indien gewenst, voornamelijk bij het testen van meerdere systemen, kunnen er tussenrapportages gemaakt worden om u op de hoogte te houden van de voortgang.

De hackers gebruiken diverse (zelf ontwikkelde) tools, exploits, applicaties en op maat gemaakte scripts tijdens het uitvoeren van de test. Zoals ook in de praktijk, speelt de creativiteit en kennis van de hacker een grote rol bij het testen van uw systeem. Uiteraard hanteren onze hackers methodieken zoals de Open Source Security Testing Methodology Manual (OSSTMM), Open Web Application Security Project (OWASP) of de NIST Guideline on Network Security Testing. Tevens wordt social engineering toegepast om medewerkers te misleiden en informatie los te krijgen.

Uit de uitvoering van de penetratietest komt een uitgebreid en helder rapport voort zodat de lekken gedicht kunnen worden. Uiteraard wordt dit rapport gepresenteerd en biedt Onvio ondersteuning en advisering bij het dichten van kwetsbaarheden.

Passieve test

In een operationele omgeving is het niet wenselijk directe penetratie tests uit te voeren. Wel kunnen wij het netwerkverkeer met behulp van monitoring nader onder de loep nemen.
Onder de noemer passieve test geven wij u inzicht wat er speelt op de vitale punten binnen uw infrastructuur zonder uw productieomgeving te verstoren.

Verwachtingen beveiliging

Van al uw beveiliging verwacht u dat ze doen waarvoor ze zijn bedoeld, echter heeft u geen garanties. Het verkeer dat over uw netwerk gaat hoeft niet veilig te zijn. Technologie kan fouten maken of nieuwe malware niet detecteren als schadelijk. Daarnaast zijn er mensen die de technologie instellen, fouten maken is menselijk dus ook in dit geval mogelijk waardoor u niet het gewenste niveau van beveiliging kunt garanderen. Door op voorhand monitoren van uw verkeer heeft u vroegtijdig inzicht in ongewenste voorvallen. Door hierop in te spelen kunt u handelen voor het te laat is.

Ongewenste verstoring

In speciale gevallen kiezen wij ervoor om een passieve test uit te voeren. Vaak heeft dit te maken met de operationele omgeving waar het te testen systeem zich in bevindt, waar de kleinste verstoringen niet te overzien zijn.
Hierdoor is het dan niet mogelijk een directe penetratie test uit te voeren. We moeten dus dieper in detail treden om problemen aan te pakken die in zich in de operationele omgeving bevinden.

Beoordelen van verkeer

Wij hebben passieve test in het leven geroepen om speciale gevallen als hierboven te testen. Aan de hand van een monster uit uw netwerkverkeer voor een bepaalde tijd kunnen we een representatief plaatje maken van de activiteiten die plaatsvinden op het netwerk. Denk hierbij aan services, diensten, software, malware, virussen, botnets, exploits, websites die gebruikt/misbruikt worden. Aan de hand hiervan komen we tot een beoordeling en kijken we waar eventuele verbeteringen mogelijk zijn.

Scenario test

Als er ooit bij u is ingebroken weet u dat bedrijfsgegevens uit kunnen lekken.
Steeds meer bedrijven slaan waardevolle gegevens op en zijn een mogelijk doel voor cybercriminelen of misschien wel concurrenten. Weet u wat dit voor u betekend? Hoe voorkomt u dit soort ongevallen?

Met een scenario test krijgt u een helder beeld van uw beveiliging. We stellen vast wat het risico is dat u loopt en proberen samen de impact te analyseren. Voor wie is uw informatie waardevol? Wie hebben er toegang tot deze informatie?

Hierna proberen wij op alle mogelijke manieren in te breken tot de door u gespecificeerde waardevolle gegevens.

Het doel hacken

In onze scenario test gebruiken we alle mogelijke technieken om tot de bron te komen.
Daarnaast behoort tot de mogelijkheden social engineering en fysieke toegang verkrijgen om zo verder in te breken in uw infrastructuur.
Op deze manier krijgt u een duidelijk beeld van de werkelijkheid, doorgaan tot er informatie verkregen is.

We zetten al onze expertise in om nieuwe paden naar binnen te vinden, niet iedere methode hoeft een directe ingang te zijn. Wel kan het leiden tot nieuwe inzichten die gebruikt kunnen worden bij het inbreken

Na afloop van onze penetratietest vatten wij al onze bevindingen samen in een praktisch rapport, waarin wij in begrijpelijke taal alle gevonden lekken en data aan u voorleggen.

Het rapport bevat gedetailleerde informatie over de kwetsbaarheden met onder andere exacte locaties, gebruikte methodes, gevolgen, prioriteiten en documentatie.

Met het advies en alle details over de gevonden lekken op zak kunt u snel actie ondernemen om deze problemen te verhelpen. Een expert kan het rapport presenteren en toelichting geven op de gevonden kwetsbaarheden, aan u en uw applicatie beheerders. Zo kunt u effectief de lekken dichten.

Is uw applicatiebeheerder niet in staat het rapport op te volgen, dan staan wij altijd klaar om patches voor uw systeem te ontwikkelen en de beveiliging te versterken.