Naast onze preventieve vulnerability scans bieden we ook pentesten aan.
Bij een pentest gaan onze ethische hackers uw systemen onderzoeken op kwetsbaarheden. We proberen hierbij via verschillende manieren de zwakke plekken aan het licht te brengen. Dit doen we middels geautomatiseerde tools en door creatief denken.
De gevonden kwetsbaarheden worden nauwkeurig beschreven en worden op impact en risico geanalyseerd. Hierbij worden ook CVSS scores (Common Vulnerability Scoring System) toegediend.
Onze methodiek
Wij houden ons aan erkende standaarden van testmethodieken, zoals bijvoorbeeld het Open Web Application Security Project (OWASP). Dit zorgt ervoor dat we een pentest grondig en succesvol uitvoeren, en geeft onze opdrachtgevers zekerheid over de volledigheid van de pentest. Daarnaast bieden wij een mogelijkheid voor gecertificeerde pentest, zoals CISSP, CEH, OSCP en OSWP
360 angle view
De uitgangspunten voor de regie zijn het bestaande beleid en de medewerkers van de organisatie.
-Opstellen van een risico inventarisatie die aansluit op de activiteiten;
-Ambitie en beleid informatiebeveiliging
-Contractuele maatregelen
-Technische maatregelen
-Organisatorische maatregelen
-Prioritering van aanpak: wat is ‘need to have’ en wat is ‘nice’?
-Jaarplan opstellen met SMART activiteitenplan
-Communicatie met de interne
- en externe stakeholders-Rapportage en evaluatie op kwartaalbasis
Routers/netwerk apparaten
IoT apparaten
Intranet
Login portalen
Remote Desktop Services (RDP)
Websites
We onderscheiden drie verschillende soorten pentesten; de black box, grey box en white box. De meest geschikte pentest verschilt per situatie, voor meer informatie hierover neem gerust contact met ons op.
Black box
Bij een black box pentest is er geen kennis vooraf verstrekt door onze opdrachtgever. Hierdoor is het vergelijkbaar met hoe hackers een echte aanval zouden uitvoeren. Er is geen kennis over het systeem of documentatie beschikbaar. Deze aanpak verplicht ethische hackers om onderzoek naar openbare bronnen te doen, ook wel OSINT genoemd: Open-Source Intelligence. In dit geval wordt als het ware de buitenste beschermlaag van de IT getest.
Grey box
Dit betreft een combinatie van black en white box pentesten. De ethische hacker krijgt wat informatie over het systeem, zoals netwerk topologie en documentatie, en eventueel beperkte toegang. Hiermee kan erg gericht en efficiënt ge(pen)test worden. Doordat de hacker informatie over het systeem heeft kunnen de meest kwetsbare componenten getest worden en wordt er geen tijd besteed aan zichzelf bekend maken met het systeem.
Ook kunnen hiermee de interne componenten getest worden. Juist bij de interne componente zijn vaak kwetsbaarheden te vinden zijn omdat er vaak een focus ligt op bescherming vanaf de buitenkant (die bij een black box getest kan worden).
White box
In deze situatie is alle informatie over het systeem beschikbaar voor de ethische hackers. Dit kan documentatie en toegang tot alle systemen zijn, maar ook source code en rollen/rechten matrix bevatten. Hierbij kan er dus bijvoorbeeld analyse gedaan worden over de code zelf in plaats van het zoeken naar kwetsbaarheden in aanvallende zin.
Na een pentest volgt er een rapportage met de uitslagen en adviezen erin verwerkt. Zowel voor management als technisch personeel is het duidelijk wat er voor resultaat uit is gekomen en welke eventuele vervolgstappen dienen te worden genomen.
Voorbeeldrapport
