Pentest
Wanneer uw organisatie zich bezig houdt met het verwerken van belangrijke informatie, heeft u vast maatregelen genomen om uw gevoelige gegevens te beschermen. Toch vraagt u zich af of alles wel veilig is? Natuurlijk wilt u hackers een stap voor blijven. Dit is waar een Pentest van pas komt, een beproefde methode om te testen of uw beveiliging van voldoende niveau is en werkt zoals verwacht. Wij vertellen u graag meer over dit effectieve middel om de IT-beveiliging te testen.
Onvio wint KPN Security Pentest-competitie!
Onvio wint Den Haag Hack-competitie!
Onvio wint KPN Pentest-competitie!
Onvio is ISO27001 gecertificeerd en lid van Cyberveilig Nederland.
Wat is een Pentest?
Pentest is een afkorting van ‘penetration testing’. Bij een Pentest laat u legale (ethische) hackers op realistische wijze uw systemen onderzoeken. Zij kruipen als het ware in de huid van een kwaadwillende hacker. Net als een echte crimineel proberen ze op alle mogelijke manieren toegang te krijgen tot uw beveiligde gegevens. Natuurlijk binnen de afgesproken kaders.
Op deze manier leggen de pentesters de zwakke plekken en risico’s in uw applicaties, netwerken en systemen bloot. Hiermee krijgt u een helder inzicht in de risico’s en kwetsbaarheden in de IT-omgeving van uw organisatie. Na afloop kunnen er gerichte maatregelen worden genomen om de risico’s te beperken en de beveiliging naar een hoger niveau te tillen.
Welke soorten Pentesten zijn er?
Een Pentest wordt uitgevoerd op alle typen IT systemen waar veiligheid van belang is.
Bedrijfsnetwerk
Een Pentest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne of externe (wifi)netwerk kunnen binnendringen. Ook wordt duidelijk of ransomware of uw medewerkers data kunnen compromitteren.
Bedrijfsnetwerk pentest(Web)applicaties
Webapplicaties en services zoals websites, financiële systemen en portals vormen dé toegangsdeur tot uw data en zelf uw interne infrastructuur. Een Pentest haalt kwetsbaarheden in deze webapplicaties naar boven.
Webapplicatie PentestMobiele Apps & API's
Mobiele Apps verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een Pentest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de Mobiele Apps.
IACS en OT
Toets de veiligheid van uw Industriële Automatisering en Controle Systemen (IACS) en Operationele Technologie (OT) omgevingen met ICS/SCADA, SIS, HVAC, communicatiesystemen, gateways of firewalls op kwetsbaarheden.
Industriële systemen pentestAudits en assessments
Een Pentest is vaak een verplicht onderdeel van audits voor DigiD, BIO, ISAE of ISO27001. Een Pentest in het kader van een IT assessment is gericht op het voldoen aan normenkaders. Het rapport is direct bruikbaar voor een auditor.
Audits en Assessments PentestIOT & Hardware
IoT devices en de hardware worden steeds slimmer en vormen een toegangspunt tot uw infrastructuur. Ze verwerken data en zijn vaak gekoppeld aan API's. Een Pentest onderzoekt fysiek de hardware en alle software en netwerkmogelijkheden.
IoT & Hardware PentestVerschil tussen een Pentest en vulnerabilityscan
Bij een Pentest bestaat het grootste gedeelte uit handmatige tests uitgevoerd door een ervaren en gespecialiseerde ethische hacker. Creativiteit en kennis spelen een essentiële rol in het vinden van risico’s die anders onopgemerkt blijven. Als het merendeel van de Pentest geautomatiseerd is, wordt dit een vulnerabilityscan genoemd. Een vulnerabilityscan heeft in veel gevallen niet de intelligentie om kwetsbaarheden te ontdekken die van deze bekende patronen afwijken. Wel kan de scan nuttig zijn om snel bekende beveiligingsfouten te vinden.
Hoe draagt een Pentest bij aan uw organisatie?
De laatste jaren zien wij dat steeds meer bedrijven de behoefte hebben om hun applicaties, netwerken of systemen te onderwerpen aan een Pentest. Het uitvoeren van zo’n test kan namelijk een waardevolle aanvulling zijn om de mate van uw beveiliging te beoordelen en zo risico’s en kwetsbaarheden te bestrijden. Pentesten resulteren in verbeteringen waarmee u uw organisatie preventief veiliger maakt en risico’s verkleind.
Wilt u een Pentest laten uitvoeren? Onvio biedt specialisten die uw systemen net zoals echte cybercriminelen onder handen nemen. De Hackers van Onvio zijn gecertificeerd volgens de hoogste standaarden. Neem contact op, bel 070 213 25 33 of mail info@onvio.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.
De verschillende testmethoden van een Pentest
Er zijn grofweg drie Pentest methoden te onderscheiden. Namelijk black box, grey box en white box. Geen van deze methoden is de ‘beste’. Iedere variant heeft zijn eigen plus- en minpunten. De juiste keuze hangt dus volledig af van de omstandigheden.
Black box
Bij een black box Pentest krijgt de ethische hacker vooraf geen enkele informatie, net zoals in het echt. Zo kan de pentester echt in de huid kruipen van een opportunistische, niet-geïnformeerde hacker. Aangezien de pentester geen voorinformatie heeft, maar wel gelimiteerd is door tijd en budget, is deze testvariant doorgaans de minst grondige. De test wordt dan ook vaak gebruikt bij het controleren van de algemene veiligheid van een applicatie, netwerk of systeem.
Grey box
Bij een grey box Pentest wordt er enige informatie beschikbaar gesteld. Bijvoorbeeld de inloggegevens van een medewerker of klant om te controleren of zij onbevoegde toegang kunnen krijgen tot gegevens. De pentester kruipt bij deze techniek in de huid van een geïnformeerde hacker of kwaadwillende insider die al een zekere toegang heeft tot het systeem of de applicatie alvorens hij de aanval start. Er wordt dus getest vanuit het gebruikersperspectief.
White box
Bij een white box Pentest wordt er vooraf volledige openheid van zaken gegeven, zoals netwerkdiagrammen en broncode. Daardoor kunnen zij de pentest zeer grondig uitvoeren. Met deze methode kunnen complexere en goed verborgen kwetsbaarheden gevonden worden.
Wat is het proces van een Pentest?
Een Pentest begint bij Onvio altijd met een intakegesprek, waarin de scope (de inkadering) van de Pentest wordt vastgelegd. Wat is het object van het onderzoek? Welke testmethode gaan we gebruiken? Wat is het beschikbare budget? En wat is het tijdsbestek en de planning waarin de Pentest plaatsvindt? Als dit is vastgesteld kan de Pentest van start gaan. Dit gebeurt in drie fases:
Verkenning
De ethische hackers gaan in de verkenningsfase aan de slag met het in kaart brengen van potentiële toegangsdeuren. Hierbij worden de infrastructuren en gebruikte systemen in kaart gebracht en wordt er gezocht naar laaghangend fruit.
De aanval
Na de verkenning begint het daadwerkelijk aanvallen van uw applicaties, netwerken of systemen. De ethische hackers proberen toegangsdeuren te vinden en kwetsbaarheden uit te buiten om zo uw systemen binnen te dringen en gevoelige gegevens te stelen.
Rapportage
Tijdens de Pentest documenteren de ethische hackers alle gevonden kwetsbaarheden en bevindingen die geclassificeerd worden volgens een risicoprofiel voor uw organisatie. Dit resulteert in een helder rapport met daarin de belangrijkste conclusies en aanbevelingen waarmee de beveiliging van uw organisatie verbeterd kan worden. Vervolgens kunt u deze aanbevelingen vertalen in concrete acties.
Door wie een Pentest laten uitvoeren?
Een belangrijke vraag. De ethische hacker die de Pentest uitvoert krijgt immers mogelijk toegang tot al uw gevoelige gegevens. Er zijn een aantal kenmerken om een Pentest-organisatie met goede bedoelingen te herkennen. Een belangrijk aandachtspunt zijn de kwalificaties van de pentesters. Naast een VOG (Verklaring Omtrent Gedrag) en antecedenten screening, zijn hackers certificaten zoals OSCP, OSCE en OSWE een goede indicator van kennis, doorzettingsvermogen en creativiteit. Daarnaast is het belangrijk dat de Pentest bestaat uit mensenwerk. Is de Pentest voor het overgrote deel geautomatiseerd, dan is dat doorgaans een slecht teken. Menselijk inzicht en creativiteit zijn cruciaal voor een goede test.
Waarom organisaties voor een Pentest van Onvio kiezen
Onvio is een professionele, integere en betrouwbare partner die uw organisatie helpt om risico’s te identificeren en deze te minimaliseren. Met de specialistische vaardigheden van onze ethische hackers bent u verzekerd van een kwalitatief hoogstaande Pentest. Onvio blinkt uit in sterke technische kennis én het vermogen om resultaten te vertalen naar uw organisatie.
Evenzo belangrijk is namelijk de vertaalslag van technische kwetsbaarheden naar heldere risico’s en oplossingen gekoppeld aan de doelstellingen van uw organisatie. Wij begeleiden u van start tot eind, om zo de effectiviteit van de test te maximaliseren.