Bedrijfsnetwerk Pentest

Uw bedrijfsnetwerk beschermen tegen hackers is belangrijker dan ooit. Zo blijft uw gevoelige informatie, en die van uw klanten, veilig. Waarschijnlijk heeft u hier al maatregelen voor getroffen, maar hoe weet u nu zeker of deze wel effectief zijn? Dat is waar een bedrijfsnetwerk pentest, of netwerk security test, van pas komt. Ons team van gespecialiseerde ethische hackers zoekt naar gaten in de beveiliging van uw bedrijfsnetwerk. Worden die gevonden, dan kunt u proactief maatregelen nemen om uw beveiliging naar een hoger niveau te tillen. Maar hoe werkt een pentest op uw bedrijfsnetwerk nou precies? Welke methodieken passen wij hierbij toe en voor welke bedrijven is een pentest van toepassing?

Onvio wint KPN Pentest-competitie 2020!
Onvio wint Den Haag Hack-competitie 2019!
Onvio wint KPN Pentest-competitie 2018!

Onvio is ISO27001 gecertificeerd

Onvio is ISO27001 gecertificeerd en lid van Cyberveilig Nederland.

Organisaties die baat hebben bij een bedrijfsnetwerk Pentest

Bijna iedere organisatie werkt met gevoelige (persoons-)gegevens en IT-systemen. Een pentest op uw bedrijfsnetwerk is in dit geval belangrijk, omdat u hiermee inzicht kunt verkrijgen in het niveau van de beveiliging en daarmee kunt controleren of de gegevens en systemen wel veilig zijn.

Voor sommige organisaties is er bovendien extra belang bij informatieveiligheid. Voor de meeste overheidsopdrachten is een ISO27001 certificering voor informatiebeveiliging vereist, waarvoor de audits op hun beurt een bedrijfsnetwerk pentest verplicht stellen.

Verder is het voor iedere grotere MKB’er, gemeente, ministerie, softwarebedrijf en financiële instelling cruciaal om de veiligheid en beveiliging van hun bedrijfsnetwerk te waarborgen. Een bedrijfsnetwerk pentest helpt dan om die veiligheid te controleren en bij te houden, zodat de bedrijfsvoering geen onnodige risico’s loopt.

Neem vrijblijvend contact op

Welke soorten Pentesten zijn er?

Een Pentest wordt uitgevoerd op alle typen IT systemen waar veiligheid van belang is.

Bedrijfsnetwerk

Een Pentest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne netwerk kunnen binnendringen. Ook wordt er onderzocht of (kwaadwillende) medewerkers of gasten ongewenst data kunnen compromitteren van binnenuit de organisatie.

Bedrijfsnetwerk Pentest

(Web)applicaties

Applicaties en services zoals websites, financiële systemen en portals vormen een toegangsdeur naar gevoelige data. Vaak zelfs vanaf het internet, wat kan leiden tot toegang tot het interne bedrijfsnetwerk. Een Pentest haalt kwetsbaarheden in deze applicaties naar boven.

Webapplicaties Pentest

Mobiel & IoT Hardware

Mobiele Apps en IoT devices verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een Pentest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de apparaten en diensten.

IoT Hardware Pentest

Industrie / SCADA / ICS

Steeds vaker zijn industriële systemen gekoppeld aan het internet en bedrijfsnetwerken. Bijvoorbeeld SCADA systemen hebben vaak geen optimale beveiliging, wat ze een interessant doelwit maakt met een potentiële grote impact.

Audits en assessments

Een Pentest is vaak een verplicht onderdeel van audits voor DigiD, BIO, ISAE of ISO27001. Een Pentest in het kader van een IT assessment is gericht op het voldoen aan normenkaders. Het rapport is direct bruikbaar voor een auditor.

Wifi netwerken

Een WiFi verbinding is de ideale mogelijkheid voor hackers om uw netwerk binnen te dringen. Van buitenaf uw pand kan het signaal opgevangen worden door criminelen om zo op afstand rustig hun gang te gaan zonder op te vallen.

Wat is het proces van een Pentest?

Ons testproces maakt gebruik van verschillende methodieken. Denk hierbij aan Open Web Application Security Project (OWASP TOP 10 versie 2017) en OSSTMM (Open Source Security Testing Methodology Manual). Hierbij worden tenminste de volgende aspecten op uw interne netwerk onderzocht:

• Configuraties van interne (web)applicaties;
• Configuraties van essentiële componenten zoals firewalls en switches;
• Wachtwoordsterkte;
• Kwetsbare en verouderde software en hardware;
• Netwerksegmentatie;
• Scheiding en inrichting van gebruikersrechten;
• Inrichting en beveiliging van Active Directory (AD);

• Gevoelige informatie op netwerkshares;
• Beveiligingsmechanismes omzeilen zoals authenticatie, NAC’s, Firewalls, IDS, IPS en ACL’s;
• Netwerkverkeer onderscheppen en manipuleren;
• Opslag van gevoelige informatie;
• Ongeautoriseerde toegang tot databases, applicaties en andere componenten;
• Configuraties en hardening van het netwerk, componenten en applicaties;
• Aanwezigheid van malware.

Belangrijke vraagstellingen

Met de genoemde methodieken onderzoeken we verschillende vraagstellingen. Deze lijst is niet uitputtend. Onze specialisten kunnen ook specifieke scenario’s toespitsen op basis van uw wensen.

• Zijn gebruikers juist gescheiden en kloppen hun autorisaties?
• Zijn systemen goed dicht-“getimmerd” en is het aantal toegangswegen beperkt?
• Wordt gevoelige data op de juiste manier verwerkt en opgeslagen?
• Worden er sterke configuraties en best practices toegepast?
• Bevatten de systemen bekende kwetsbaarheden zoals publieke exploits?
• Hoe ver kan een ervaren hacker binnen de gegeven tijd het netwerk binnendringen?

Neem vrijblijvend contact op

De uitvoering van een bedrijfsnetwerk pentest

De onderstaande drie fasen beschrijven hoe een pentest op uw netwerk wordt uitgevoerd:

Netwerkverkenning

Tijdens de eerste stap van een bedrijfsnetwerk penetratietest verkennen we eerst uw interne netwerk. Hoe ziet de infrastructuur eruit? Welke netwerkcomponenten en applicaties zijn er? Door dit in kaart te brengen herkennen we mogelijke risicogebieden en aanvalsvectoren. Zo bouwen we aan een brede informatiebasis die in het verdere onderzoek telkens weer van pas komt.

Geautomatiseerde scans

Met ingang van de tweede fase zetten we onze vulnerability scanners in. Deze zijn speciaal ontworpen om laag hangend fruit in kaart te brengen. Dat betekent dat we geautomatiseerd zoeken naar bekende kwetsbaarheden. De scanners kijken onder anderen naar specifieke componenten in het netwerk en vergelijken deze met een database van bekende kwetsbaarheden. Komen componenten of systemen hier in voor? Dan is dat vergelijkbaar met een laag hangende appel die elke hacker zo kan plukken.

Handmatig Pentesten

We compromitteren handmatig waardevolle data uit uw systeem op een realistische manier. Zo stellen we de kwetsbaarheden die dit mogelijk maken vast. Hiervoor kijken onze specialisten door de ogen van een hacker naar uw systeem, met de volledige vrijheid op het gebied van creativiteit. Toch mag uw continuïteit natuurlijk niet in het geding komen, dus testen zij alleen binnen de kaders van de afgesproken scope. Zij gebruiken dus alle gekoppelde systemen en omgevingen die nuttig kunnen zijn om in te breken, mits de scope dit toelaat.

Bedrijfsnetwerk penetratietest rapportage

Alle kwetsbaarheden die onze hackers tegenkomen tijdens de penetratietest van uw bedrijfsnetwerk leggen zij vast. Deze classificeren zij met een risicomatrix op kritiek-, hoog-, midden- en laag-risico of CVSSv3. Hierdoor weet u precies waar u moet beginnen om de risico’s op te lossen. Wanneer kwetsbaarheden in onze ogen een acuut risico vormen voor uw bedrijfsvorming, stellen wij u hier direct van op de hoogte. Zo houdt u overzicht en zijn alle inzichten uit de pentest van uw bedrijfsnetwerk helder en duidelijk terug te vinden.

aws audit

Periodiek uw bedrijfsnetwerk blijven testen?

Tot slot is het van belang om na te denken over de frequentie waarmee u pentesten laat uit voeren. In een jaar tijd kan er veel veranderen aan uw netwerk en raakt ook de gereedschapskist van hackers steeds voller.

Met periodieke (jaarlijkse) pentesten blijft u ongewenste of risicovolle situaties voor en kunt u vertrouwen op een veilig bedrijfsnetwerk. Is uw bedrijf toe aan een jaarlijkse controle? Neem dan contact op met onze specialisten.