Bedrijfsnetwerk Pentest
Uw bedrijfsnetwerk beschermen tegen hackers, malware en ransomware is belangrijker dan ooit. Zo blijft uw gevoelige informatie veilig en de continuïteit geborgd. Waarschijnlijk heeft u hier al maatregelen voor getroffen, maar wil u graag de effectiviteit hiervan toetsen. Dat is waar een bedrijfsnetwerk pentest, ofwel netwerk security test, u de uitkomst biedt. Ons team van gespecialiseerde ethische hackers zoekt naar gaten in de beveiliging van uw interne netwerk, inclusief alle componenten zoals VDI, switches en Wifi. Worden er risico’s gevonden, dan kunt u proactief maatregelen nemen om uw beveiliging naar een hoger niveau te tillen.
Onvio wint KPN Pentest-competitie 2020!
Onvio wint Den Haag Hack-competitie 2019!
Onvio wint KPN Pentest-competitie 2018!
Onvio is ISO27001 gecertificeerd en lid van Cyberveilig Nederland.
Organisaties die baat hebben bij een bedrijfsnetwerk Pentest
Bijna iedere organisatie werkt met gevoelige (persoons-)gegevens en IT-systemen. Een pentest op uw bedrijfsnetwerk is in dit geval belangrijk, omdat u hiermee inzicht kunt verkrijgen in het niveau van de beveiliging en daarmee kunt controleren of de gegevens en systemen wel veilig zijn.
Voor sommige organisaties is er bovendien extra belang bij informatieveiligheid. Voor de meeste overheidsopdrachten is een ISO27001 certificering voor informatiebeveiliging vereist, waarvoor de audits op hun beurt een bedrijfsnetwerk pentest verplicht stellen.
Verder is het voor iedere grotere MKB’er, gemeente, ministerie, softwarebedrijf en financiële instelling cruciaal om de veiligheid en beveiliging van hun bedrijfsnetwerk te waarborgen. Een bedrijfsnetwerk pentest helpt dan om die veiligheid te controleren en bij te houden, zodat de bedrijfsvoering geen onnodige risico’s loopt.
Tijdens een pentest op de interne infrastructuur kunnen we tevens uw Wifi netwerken onderzoeken.
Welke soorten Pentesten zijn er?
Een Pentest wordt uitgevoerd op alle typen IT systemen waar veiligheid van belang is.
Bedrijfsnetwerk
Een Pentest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne of externe (wifi)netwerk kunnen binnendringen. Ook wordt er onderzocht of (kwaadwillende) medewerkers of gasten ongewenst data kunnen compromitteren.
Bedrijfsnetwerk pentest(Web)applicaties
Webapplicaties en services zoals websites, financiële systemen en portals vormen dé toegangsdeur tot uw data en zelf uw interne infrastructuur. Een Pentest haalt kwetsbaarheden in deze webapplicaties naar boven.
Webapplicatie PentestMobiele Apps & API's
Mobiele Apps verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een Pentest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de Mobiele Apps.
IACS en OT
Toets de veiligheid van uw Industriële Automatisering en Controle Systemen (IACS) en Operationele Technologie (OT) omgevingen met ICS/SCADA, SIS, HVAC, communicatiesystemen, gateways of firewalls op kwetsbaarheden.
Industriële systemen pentestAudits en assessments
Een Pentest is vaak een verplicht onderdeel van audits voor DigiD, BIO, ISAE of ISO27001. Een Pentest in het kader van een IT assessment is gericht op het voldoen aan normenkaders. Het rapport is direct bruikbaar voor een auditor.
Audits en Assessments PentestIOT & Hardware
IoT devices en de hardware worden steeds slimmer en vormen een toegangspunt tot uw infrastructuur. Ze verwerken data en zijn vaak gekoppeld aan API's. Een Pentest onderzoekt fysiek de hardware en alle software en netwerkmogelijkheden.
IoT & Hardware PentestWat is het proces van een Pentest?
- Configuraties van interne (web)applicaties.
- Configuraties van essentiële componenten zoals firewalls en switches.
- Wachtwoordsterkte.
- Kwetsbare en verouderde software en hardware.
- Netwerksegmentatie.
- Scheiding en inrichting van gebruikersrechten.
- Inrichting en beveiliging van Active Directory (AD).
- Gevoelige informatie op netwerkshares.
- Beveiligingsmechanismes omzeilen zoals authenticatie, NAC’s, Firewalls, IDS, IPS en ACL’s.
- Netwerkverkeer onderscheppen en manipuleren.
- Opslag van gevoelige informatie.
- Ongeautoriseerde toegang tot databases, applicaties en andere componenten.
- Configuraties en hardening van het netwerk, componenten en applicaties.
- Aanwezigheid van malware.
Belangrijke vraagstellingen
Op basis van de toegepaste methodieken onderzoeken we verschillende vraagstellingen. Deze worden geformuleerd op basis van uw specifieke omgeving en systemen. Uiteraard is deze lijst is niet uitputtend, onze specialisten zullen tijdens het onderzoek specifieke scenario’s toespitsen op basis van uw wensen en wat ze tegenkomen in uw netwerk.
- Zijn gebruikers juist gescheiden en kloppen hun autorisaties?
- Zijn systemen goed dicht-“getimmerd” en is het aantal toegangswegen beperkt?
- Wordt gevoelige data op de juiste manier verwerkt en opgeslagen?
- Worden er sterke configuraties en best practices toegepast?
- Bevatten de systemen bekende kwetsbaarheden zoals publieke exploits?
- Hoe ver kan een ervaren hacker binnen de gegeven tijd het netwerk binnendringen?
De uitvoering van een bedrijfsnetwerk pentest
De onderstaande drie fasen beschrijven hoe een pentest op uw netwerk wordt uitgevoerd:
Netwerkverkenning
Tijdens de eerste stap van een bedrijfsnetwerk penetratietest verkennen we eerst uw interne netwerk. Hoe ziet de infrastructuur eruit? Welke netwerkcomponenten en applicaties zijn er? Door dit in kaart te brengen herkennen we mogelijke risicogebieden en aanvalsvectoren. Zo bouwen we aan een brede informatiebasis die in het verdere onderzoek telkens weer van pas komt.
Geautomatiseerde scans
Met ingang van de tweede fase zetten we onze vulnerability scanners in. Deze zijn speciaal ontworpen om laag hangend fruit in kaart te brengen. Dat betekent dat we geautomatiseerd zoeken naar bekende kwetsbaarheden. De scanners kijken onder anderen naar specifieke componenten in het netwerk en vergelijken deze met een database van bekende kwetsbaarheden. Komen componenten of systemen hier in voor? Dan is dat vergelijkbaar met een laag hangende appel die elke hacker zo kan plukken.
Handmatig Pentesten
We compromitteren handmatig waardevolle data uit uw systeem op een realistische manier. Zo stellen we de kwetsbaarheden die dit mogelijk maken vast. Hiervoor kijken onze specialisten door de ogen van een hacker naar uw systeem, met de volledige vrijheid op het gebied van creativiteit. Toch mag uw continuïteit natuurlijk niet in het geding komen, dus testen zij alleen binnen de kaders van de afgesproken scope. Zij gebruiken dus alle gekoppelde systemen en omgevingen die nuttig kunnen zijn om in te breken, mits de scope dit toelaat.
Bedrijfsnetwerk penetratietest rapportage
Alle kwetsbaarheden die onze hackers tegenkomen tijdens de penetratietest van uw bedrijfsnetwerk leggen zij vast. Deze classificeren zij met een risicomatrix op kritiek-, hoog-, midden- en laag-risico of CVSSv3. Hierdoor weet u precies waar u moet beginnen om de risico’s op te lossen. Wanneer kwetsbaarheden in onze ogen een acuut risico vormen voor uw bedrijfsvorming, stellen wij u hier direct van op de hoogte. Zo houdt u overzicht en zijn alle inzichten uit de pentest van uw bedrijfsnetwerk helder en duidelijk terug te vinden.
Periodiek uw bedrijfsnetwerk blijven testen?
Tot slot is het van belang om na te denken over de frequentie waarmee u pentesten laat uit voeren. In een jaar tijd kan er veel veranderen aan uw netwerk en raakt ook de gereedschapskist van hackers steeds voller.