Pentesten

Wanneer uw organisatie zich bezig houdt met het verwerken van belangrijke informatie, heeft u vast maatregelen genomen om uw gevoelige gegevens te beschermen. Toch vraagt u zich af of alles wel veilig is? Natuurlijk wilt u hackers een stap voor blijven. Dit is waar een Pentest van pas komt, een beproefde methode om te testen of uw beveiliging van voldoende niveau is en werkt zoals verwacht. Wij vertellen u graag meer over dit effectieve middel om de IT-beveiliging te testen.

Onvio wint KPN Pentest-competitie 2020!
Onvio wint Den Haag Hack-competitie 2019!
Onvio wint KPN Pentest-competitie 2018!

Wat is een Pentest?

Pentest is een afkorting van ‘penetration testing’. Bij een Pentest laat u legale (ethische) hackers op realistische wijze uw systemen onderzoeken. Zij kruipen als het ware in de huid van een kwaadwillende hacker. Net als een echte crimineel proberen ze op alle mogelijke manieren toegang te krijgen tot uw beveiligde gegevens. Natuurlijk binnen de afgesproken kaders.

Op deze manier leggen de pentesters de zwakke plekken en risico’s in uw applicaties, netwerken en systemen bloot. Hiermee krijgt u een helder inzicht in de risico’s en kwetsbaarheden in de IT-omgeving van uw organisatie. Na afloop kunnen er gerichte maatregelen worden genomen om de risico’s te beperken en de beveiliging naar een hoger niveau te tillen.

Neem vrijblijvend contact op

Welke systemen laat u Pentesten

Een Pentest wordt uitgevoerd op alle typen IT systemen waar veiligheid van belang is.

Bedrijfsnetwerk

Een Pentest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne netwerk kunnen binnendringen. Ook wordt er onderzocht of (kwaadwillende) medewerkers of gasten ongewenst data kunnen compromitteren van binnenuit de organisatie.

(Web)applicaties

Applicaties en services zoals websites, financiële systemen en portals vormen een toegangsdeur naar gevoelige data. Vaak zelfs vanaf het internet, wat kan leiden tot toegang tot het interne bedrijfsnetwerk. Een Pentest haalt kwetsbaarheden in deze applicaties naar boven.

Mobiel & IoT Hardware

Mobiele Apps en IoT devices verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een Pentest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de apparaten en diensten.

Industrie / SCADA / ICS

Steeds vaker zijn industriële systemen gekoppeld aan het internet en bedrijfsnetwerken. Bijvoorbeeld SCADA systemen hebben vaak geen optimale beveiliging, wat ze een interessant doelwit maakt met een potentiële grote impact.

Audits en assessments

Een Pentest is vaak een verplicht onderdeel van audits voor DigiD, BIO, ISAE of ISO27001. Een Pentest in het kader van een IT assessment is gericht op het voldoen aan normenkaders. Het rapport is direct bruikbaar voor een auditor.

Wifi netwerken

Een WiFi verbinding is de ideale mogelijkheid voor hackers om uw netwerk binnen te dringen. Van buitenaf uw pand kan het signaal opgevangen worden door criminelen om zo op afstand rustig hun gang te gaan zonder op te vallen.

Het verschil tussen een Pentest en een vulnerabilityscan

Bij een Pentest bestaat het grootste gedeelte uit handmatige tests uitgevoerd door een ervaren en gespecialiseerde ethische hacker. Creativiteit en kennis spelen een essentiële rol in het vinden van risico’s die anders onopgemerkt blijven. Als het merendeel van de Pentest geautomatiseerd is, wordt dit een vulnerabilityscan genoemd. Een vulnerabilityscan heeft in veel gevallen niet de intelligentie om kwetsbaarheden te ontdekken die van deze bekende patronen afwijken. Wel kan de scan nuttig zijn om snel bekende beveiligingsfouten te vinden.

Hoe draagt een Pentest bij aan uw organisatie?

De laatste jaren zien wij dat steeds meer bedrijven de behoefte hebben om hun applicaties, netwerken of systemen te onderwerpen aan een Pentest. Het uitvoeren van zo’n de test kan namelijk een waardevolle aanvulling zijn om de mate van uw beveiliging te beoordelen en zo risico’s en kwetsbaarheden te bestrijden. Pentesten resulteren  in verbeteringen waarmee u uw organisatie preventief veiliger maakt en risico’s verkleind.

Wilt u een Pentest laten uitvoeren? Onvio biedt specialisten die uw systemen net zoals echte cybercriminelen onder handen nemen. De Hackers van Onvio zijn gecertificeerd volgens de hoogste standaarden. Neem contact op, bel 070 213 25 33 of mail info@onvio.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.

Neem vrijblijvend contact op

Soorten Pentesten, drie verschillende testmethoden

Er zijn grofweg drie Pentest methoden te onderscheiden. Namelijk black box, grey box en white box. Geen van deze methoden is de ‘beste’. Iedere variant heeft zijn eigen plus- en minpunten. De juiste keuze hangt dus volledig af van de omstandigheden.

Black box

Bij een black box Pentest krijgt de ethische hacker vooraf geen enkele informatie, net zoals in het echt. Zo kan de pentester echt in de huid kruipen van een opportunistische, niet-geïnformeerde hacker. Aangezien de pentester geen voorinformatie heeft, maar wel gelimiteerd is door tijd en budget, is deze testvariant doorgaans de minst grondige. De test wordt dan ook vaak gebruikt bij het controleren van de algemene veiligheid van een applicatie, netwerk of systeem.

Grey box

Bij een grey box Pentest wordt er enige informatie beschikbaar gesteld. Bijvoorbeeld de inloggegevens van een medewerker of klant om te controleren of zij onbevoegde toegang kunnen krijgen tot gegevens. De pentester kruipt bij deze techniek in de huid van een geïnformeerde hacker of kwaadwillende insider die al een zekere toegang heeft tot het systeem of de applicatie alvorens hij de aanval start. Er wordt dus getest vanuit het gebruikersperspectief.

White box

Bij een white box Pentest wordt er vooraf volledige openheid van zaken gegeven, zoals netwerkdiagrammen en broncode. Daardoor kunnen zij de pentest zeer grondig uitvoeren. Met deze methode kunnen complexere en goed verborgen kwetsbaarheden gevonden worden.

Hoe ziet het proces van een Pentest eruit?

Een Pentest begint bij Onvio altijd met een intakegesprek, waarin de scope (de inkadering) van de Pentest wordt vastgelegd. Wat is het object van het onderzoek? Welke testmethode gaan we gebruiken? Wat is het beschikbare budget? En wat is het tijdsbestek en de planning waarin de Pentest plaatsvindt? Als dit is vastgesteld kan de Pentest van start gaan. Dit gebeurt in drie fases:

Verkenning

De ethische hackers gaan in de verkenningsfase aan de slag met het in kaart brengen van potentiële toegangsdeuren. Hierbij worden de infrastructuren en gebruikte systemen in kaart gebracht en wordt er gezocht naar laaghangend fruit.

De aanval

Na de verkenning begint het daadwerkelijk aanvallen van uw applicaties, netwerken of systemen. De ethische hackers proberen toegangsdeuren te vinden en kwetsbaarheden uit te buiten om zo uw systemen binnen te dringen en gevoelige gegevens te stelen.

Rapportage

Tijdens de Pentest documenteren de ethische hackers alle gevonden kwetsbaarheden en bevindingen die geclassificeerd worden volgens een risicoprofiel voor uw organisatie. Dit resulteert in een helder rapport met daarin de belangrijkste conclusies en aanbevelingen waarmee de beveiliging van uw organisatie verbeterd kan worden. Vervolgens kunt u deze aanbevelingen vertalen in concrete acties.

Hoe selecteert u een betrouwbare organisatie om een Pentest uit te voeren?

Een belangrijke vraag. De ethische hacker die de Pentest uitvoert krijgt immers mogelijk toegang tot al uw gevoelige gegevens. Er zijn een aantal kenmerken om een Pentest-organisatie met goede bedoelingen te herkennen. Een belangrijk aandachtspunt zijn de kwalificaties van de pentesters. Naast een VOG (Verklaring Omtrent Gedrag) en antecedenten screening, zijn hackers certificaten zoals OSCP en OSCE een goede indicator van kennis, doorzettingsvermogen en creativiteit. Daarnaast is het belangrijk dat de Pentest bestaat uit mensenwerk. Is de Pentest voor het overgrote deel geautomatiseerd, dan is dat doorgaans een slecht teken. Menselijk inzicht en creativiteit zijn cruciaal voor een goede test.

pentest

Waarom organisaties voor een Pentest van Onvio kiezen

Onvio is een professionele, integere en betrouwbare partner die uw organisatie helpt om risico’s te identificeren en deze te minimaliseren. Met de specialistische vaardigheden van onze ethische hackers bent u verzekerd van een kwalitatief hoogstaande Pentest. Onvio blinkt uit in sterke technische kennis én het vermogen om resultaten te vertalen naar uw organisatie.

Evenzo belangrijk is namelijk de vertaalslag van technische kwetsbaarheden naar heldere risico’s en oplossingen gekoppeld aan de doelstellingen van uw organisatie. Wij begeleiden u van start tot eind, om zo de effectiviteit van de test te maximaliseren.