Audits en Assessment Pentest
Als organisatie wil u graag veilig en secuur werken om uw (klant)data beschermen. Om dit aan te tonen bij opdrachtgevers en klanten kiezen veel organisaties voor certificering volgens (inter)nationaal erkende normen zoals de ISO27001 en NEN7510.
Onvio wint KPN Pentest-competitie 2020!
Onvio wint Den Haag Hack-competitie 2019!
Onvio wint KPN Pentest-competitie 2018!
Onvio is ISO27001 gecertificeerd en lid van Cyberveilig Nederland.
Belangrijk bij periodieke audits
Beschikt u bijvoorbeeld over een ISO27001 certificaat, dan dient u bij periodieke audits aan te tonen dat uw informatieveiligheid daadwerkelijk volgens de beschreven normen is ingericht. Vaak is een pentest volgens de gestelde normen van de certificering in dergelijke situaties dan een vereiste. Deze toont dan aan dat u op de juiste manier te werk gaat en vormt meteen een testmoment om te zien of u ergens nog verbeteringen door kunt voeren. Onvio helpt daar bij. We vertellen u dan ook graag meer over hoe een pentest in het kader van een audit en assessment verloopt en hoe wij daarin te werk gaan.
Welke soorten Pentesten zijn er?
Een Pentest wordt uitgevoerd op alle typen IT systemen waar veiligheid van belang is.
Bedrijfsnetwerk
Een Pentest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne of externe (wifi)netwerk kunnen binnendringen. Ook wordt er onderzocht of (kwaadwillende) medewerkers of gasten ongewenst data kunnen compromitteren.
Bedrijfsnetwerk pentest(Web)applicaties
Webapplicaties en services zoals websites, financiële systemen en portals vormen dé toegangsdeur tot uw data en zelf uw interne infrastructuur. Een Pentest haalt kwetsbaarheden in deze webapplicaties naar boven.
Webapplicatie PentestMobiele Apps & API's
Mobiele Apps verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een Pentest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de Mobiele Apps.
IACS en OT
Toets de veiligheid van uw Industriële Automatisering en Controle Systemen (IACS) en Operationele Technologie (OT) omgevingen met ICS/SCADA, SIS, HVAC, communicatiesystemen, gateways of firewalls op kwetsbaarheden.
Industriële systemen pentestAudits en assessments
Een Pentest is vaak een verplicht onderdeel van audits voor DigiD, BIO, ISAE of ISO27001. Een Pentest in het kader van een IT assessment is gericht op het voldoen aan normenkaders. Het rapport is direct bruikbaar voor een auditor.
Audits en Assessments PentestIOT & Hardware
IoT devices en de hardware worden steeds slimmer en vormen een toegangspunt tot uw infrastructuur. Ze verwerken data en zijn vaak gekoppeld aan API's. Een Pentest onderzoekt fysiek de hardware en alle software en netwerkmogelijkheden.
IoT & Hardware PentestVerschillende soorten pentesten in het kader van een audit of assessment
Voor verschillende audits en assessments voeren wij pentesten uit. Denk bijvoorbeeld aan de volgende normen:
- DigiD
Met een DigiD pentest toetst u of u voldoet aan de DigiD-beveiligingsnormen die onder anderen Logius, het NCSC en de Rijks-auditdienst stellen.
- BIO
Dient u als overheid een jaarlijkse pentest conform control 18.2.3.1 uit te voeren? Wij gaan hiermee aan de slag conform de Baseline Informatiebeveiliging Overheid, zodat u hierin ontzorgd wordt.
- ISAE of SOC
We helpen u ook graag met pentests vanuit de normenkaders van de ISAE of SOC. Zo borgt u uw processen en kunt u veilig blijven werken.
- ISO27001 en NEN7510
Voor uw ISO27001 certificering en de informatiebeveiliging daarbinnen gebruikt u een Information Security Management System. Een pentest hierop vormt dan een belangrijk onderdeel van uw audit. Bent u actief in de zorgsector, dan is voor u de NEN7510 norm van toepassing.
- ENSIA
Bij gemeenten gebruikt men de Eenduidige Normatiek Single Information Audit, ofwel ENSIA, om informatieveiligheid te verantwoorden. Een pentest draagt bij aan deze verantwoording en helpt u om met goed vertrouwen aan informatieveiligheid te werken.
Het proces bij audit en assessment pentests
Bij een pentest in het kader van audits en assessments werken we met de volgende, globale methoden. Uiteraard zijn de specifieke eisen van de certificering of normenkaders voor de audit hierbij van toepassing in de praktijk.
1) Inventarisatie
Allereerst bekijken we uw netwerk en systemen. Welke normen moeten getoetst worden? Wat valt er binnen de scope? Welke componenten en applicaties zijn er? We analyseren het geheel om zo alvast een idee te krijgen van mogelijke aanvalsvectoren en risicogebieden. Deze brede informatie gebruiken we als basis gedurende de pentest.
2) Geautomatiseerde scans
Vervolgens zoeken we met geautomatiseerde scans naar relatief bekende kwetsbaarheden. Deze vulnerability scanners bekijken specifieke componenten van uw IT en vergelijken deze met een database van bekende kwetsbaarheden. Bij overeenkomsten is dan meteen duidelijk waar er een risico ligt en hoe die eruit ziet.
3) Handmatige pentesten
Daarna gaan onze ethische hackers aan de slag met hun onderzoek. Zij kijken naar uw systemen en netwerken door de ogen van een hacker en zoeken naar kwetsbaarheden en mogelijkheden om binnen te dringen. Komen zij kwetsbaarheden tegen, dan proberen zij deze verder uit te buiten om zo de omvang van het risico volledig te inventariseren.
De data compromitteren zij op realistische wijze, met volledige vrijheid voor hun creativiteit. Uiteraard is uw continuïteit belangrijk, dus onze hackers blijven altijd binnen de kaders van de afgesproken scope.
4) Rapporteren volgens gestelde normenkaders
De rapportage van alle bevindingen is voor audit en assessment pentests extra belangrijk. Uw normenkader of certificering stelt vaak specifieke eisen aan deze rapportage, die we uiteraard voor u meenemen. Deze rapportages zijn voorzien van een normenkader, waarin duidelijk is opgenomen aan welke normen wel of niet is voldaan. U kunt het rapport dan eenvoudig overleggen aan de auditor. Deze kan daarmee beoordelen of de onderzoeksobjecten voldoen.
5) Bespreking en hertest na herstelwerkzaamheden
Bij een pentest in het kader van een audit of assessment gelden vaak strikte eisen. Wanneer de resultaten niet conform het normenkader zijn, bespreken we deze uitkomsten met u en indien nodig ook de auditor om tot de beste mitigerende oplossing te komen. Op basis hiervan verricht u herstelwerkzaamheden en voeren wij een hertest uit om te controleren of de uitkomsten nu conform de gestelde normen zijn. Het resultaat hiervan is een definitief rapport waarmee u aantoont aan de gestelde normen te voldoen.
Pentest voor Audits en Assessments aanvragen
Een pentest, in het kader van audits en assessments of anderzijds, helpt u uiteindelijk altijd om veiliger en betrouwbaarder te werken. We zijn hierin graag uw professionele, integere partner. Onze technische kennis en het vermogen om de resultaten te vertalen naar waardevolle inzichten voor uw organisatie is hetgeen waarmee we u dan bijstaan.
Periodiek blijven testen?
Tot slot is het van belang om na te denken over de frequentie waarmee u pentesten laat uit voeren. In een jaar tijd kan er veel veranderen aan uw netwerk en raakt ook de gereedschapskist van hackers steeds voller.