Pentest

Wat is een Pentest?

Een Penetratietest of Pentest is een controle van een of meer computersystemen op kwetsbaarheden. Bij de Pentest wordt gekeken of het mogelijk is om deze kwetsbaarheden ook daadwerkelijk te gebruiken om de beveiliging op deze systemen te omzeilen, in te breken of te doorbreken. Dit wordt gedaan om inzicht te krijgen in de effectiviteit van het (beveiligings-) systeem en om verbeterpunten te definiëren.

Een Penetratietest vindt om legitieme redenen plaats, met toestemming van de eigenaren van de systemen die gecontroleerd worden, met als doel de systemen juist beter te beveiligen. Een manier waarop dit kan gebeuren is bijvoorbeeld door een team van beveiligingsspecialisten (ethical hackers) te laten proberen om met toestemming van de systeemeigenaar informatie uit het (beveiligde) systeem te benaderen zonder de vereiste toegangsgegevens.

Pentest door ethical hackers

Pentests worden gedaan door onze ethical hackers om inzicht te krijgen in de effectiviteit van het (beveiligings-) systeem en om verbeterpunten te definiëren. Wij hanteren een black en/of grey box benadering voor het onderzoek. Bij een black box benadering hebben onze ethical hackers geen informatie over de opzet en werking van de netwerk infrastructuur. Met een grey box benadering hebben onze ethical hackers beperkte kennis van de opzet en werking van de netwerk infrastructuur. Denk hierbij aan een account en/of de netwerk topologie. Het onderzoek richt zich op de aanwezigheid (het bestaan) van technische beveiligingsmaatregelen om de integriteit en exclusiviteit van bedrijfsinformatie en persoonsgegevens te waarborgen. De aanwezigheid van maatregelen wordt getest op basis van handmatige tests en met behulp van testprogramma’s geautomatiseerd onderzocht.  De methodieken die onze ethical hackers gebruiken zijn gebaseerd op de Open Web Application Security Project (OWASP) of de NIST Guideline on Network Security Testing.

Lees meer over Ethical Hacking

Bij een Pentest worden een of meer computersystemen gecontroleerd op kwetsbaarheden. Het doel hiervan is (1) inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem en (2) aan de hand hiervan verbeterpunten te definiëren voor de beveiliging van het computersysteem.

Cloudoplossingen voor bedrijven van de toekomst

Black Box Pentest

Bij een ‘Black Box approach’ wordt aangenomen dat een hacker helemaal niets weet van een omgeving en ook geen rechten of toegang heeft. Met andere woorden, de aanvaller wordt niet vertrouwd en komt van buiten de organisatie. De modus operandi van deze aanvaller wordt dan ook gesimuleerd, waarbij de pentester van buitenaf informatie inwint over het bedrijf. Denk hierbij aan poortscanning, Google (het zoeken van online beschikbare documentatie over het target), dumpster-diving en vacatures nazoeken op IT-functies (hier is vaak meer info te vinden over gebruikte applicaties). De reconnaissance fase (fase van informatie vinden over het aanvalsdoel) is hierbij cruciaal.

Grey Box Pentest

Grey Box model is een minder bekende methode van de Pentest, oftewel de Penetratietest. Dit is een hybride model, waarbij een buitenstaander door een medewerker met informatie wordt gevoed en zo aanvallen uitvoert. De buitenstaander krijgt echter niets te weten over het netwerk, maar ontvangt bijvoorbeeld alleen login gegevens voor een bepaalde website of applicatie. Zo verschilt dit type van een White Box aanval.

White Box Pentest

Het White Box model hanteert een totaal andere methode dan dat van Grey Box of Black Box. Hierbij wordt alle documentatie toegepast bij de uitvoering van een onderzoek. Bij dit model weet de aanvaller veel meer van het netwerk en de aanval is daarom ook meer deterministisch en meer gecontroleerd in vergelijking met een Black Box aanval. Zoals de namen al doen vermoeden, zijn deze twee methoden tegenpolen van elkaar.

Pentest rapportage

De resultaten van de Pentest uitgevoerd worden door ons vastgelegd in de vorm van een rapportage. Globaal rapporteren wij onder andere over de onderstaande aspecten:

  • De gebruikte applicaties (inclusief versienummer)
  • De parameters die zijn gebruikt bij de tests
  • Het tijdstip waarop de test is uitgevoerd
  • Categorisering en classificatie van elk verbeterpunt
  • Een toelichting per gevonden verbeterpunt

Onze specialisten blinken uit in hun betrokkenheid, flexibiliteit en social skills. Ondanks – of juist mede door – hun jarenlange ervaring zijn zij in staat om complexe materie in begrijpelijke taal over te brengen. Zij delen graag hun kennis om het security niveau van jouw organisatie te verhogen.

Lees meer over onze Pentest aanpak

Pentest voor jouw organisatie?

Benieuwd naar hoe een Pentest de IT-omgeving van jouw organisatie veiliger kan maken? Neem dan gerust contact met ons op om vrijblijvend te praten over de mogelijkheden en oplossingen. Eshgro helpt je graag bij het veiliger maken van jouw IT-omgeving.

Neem contact op