Penetratietesten

 

Wat is penetratietesten en pentesting?

Met beide begrippen wordt hetzelfde bedoeld. Met zowel penetratietesten als pentesting ‘testen’ pentesters jouw applicaties, computersystemen of apps op kwetsbaarheden en veiligheidsrisico’s. Zij gebruiken hiervoor dezelfde methodes, tools en gaten in de beveiliging of kwetsbaarheden als (ethical) hackers. Dit heet een pentest.

Penetratietesten betekent hetzelfde als “pentesting”, “pentesten”, “netwerk penetration testing” of “security testing”.

Wat is het doel van een pentest?

Niet alle preventieve maatregelen werken altijd zoals je zou willen. Bijvoorbeeld door fouten in de software. Door verkeerde instellingen. Door een menselijke fout of een combinatie van één of meer factoren.

Wat de oorzaak ook is. Je wil niet dat de data van jouw klanten op straat komt te liggen bij een hack. Om er zeker van te zijn dat jouw software, applicatie of systeem goed beveiligd is tegen aanvallen van buitenaf is een (regelmatige) pentest door een pentester aan te bevelen.

De pentester identificeert de fouten en kwetsbaarheden die mogelijke hackers kunnen gebruiken om toegang te krijgen tot jouw systeem. Een penetratietest geeft dus inzicht in de (resterende) risico’s.

Wie voert een penetratietest uit?

Een pentest wordt vrijwel altijd door een professionele pentester uitgevoerd. Op locatie of op afstand. Praegus werkt samen met gespecialiseerde pentesters met een gedegen achtergrond en veel ervaring in het pentesten van alle soorten software, systemen en applicaties.

Is pentesten te automatiseren?

Pentesten is slechts gedeeltelijk te automatiseren. Bepaalde processen of activiteiten kan door middel van tooling goed door automatisering worden getest. Echter bij pentesten is het resultaat in grote mate afhankelijk van de creativiteit en de ervaring van de pentester.

Hoe gaat een pentest in zijn werk?

De opzet en aanpak van een pentest verschilt per applicatie, systeem of software wat getest moet worden. Het verloop van de pentest is in grote mate afhankelijk van de pentester. Het is de pentester die bepaalt hoe en wanneer de verschillende middelen en technieken worden ingezet.
Een pentester gebruikt vaak een combinatie van geautomatiseerde tooling en creativiteit om bestaande fouten en kwetsbaarheden te exploiteren.

Voordat een pentest start is het belangrijk dat de opdrachtomschrijving, de scope, de pentestmethode en het tijdsverloop duidelijk gedefinieerd is.

Globaal genomen zijn er een aantal stappen te definiëren in het pentesting proces. Deze zijn:

Stap 1 – Informatie verzamelen
Uit openbare bronnen en klantinformatie. Bijvoorbeeld netwerktekeningen en een IP nummerplan.

Stap 2 – Threat Modeling
In deze stap wordt de verzamelde informatie georganiseerd. Er wordt gekeken welke informatie relevant is voor de penetratietest. Op basis hiervan wordt de ‘dreiging’ in kaart gebracht en een aanvalsmethodiek bedacht.

Stap 3 – Kwetsbaarheden analyse
De geselecteerde systemen en applicaties worden onderzocht op kwetsbaarheden. Zowel handmatig door de pentester als door de inzet van tools die automatisch kunnen zoeken naar kwetsbaarheden.

Stap 4 – Exploitatie
Oftewel de ‘aanval’. De pentester gaat proberen om toegang te krijgen tot het systeem en de kwetsbaarheden te bevestigen.

Stap 5 – Evaluatie
Er wordt gekeken wat er is gebeurd, welke data is gevonden en wat dit betekent voor de systemen, applicaties of het netwerk.

Stap 6 – Rapportage
Alle bevindingen worden samengevat in een overzichtelijk rapport. Het rapport bevat een opsomming van de bevindingen met een classificatie aan de hand van het CVSS scoresysteem. Het rapport bevat een beschrijving van de mogelijke impact voor de bedrijfsvoering. Het bevat ook aanbevelingen waarmee de gevonden problemen opgelost kunnen worden.

Stap 7 – implementatie oplossingen
De gevonden kwetsbaarheden en risico’s worden opgelost.

Stap 8 – Re-audit
Er wordt onderzocht en gerapporteerd of de kwetsbaarheden en risico’s daadwerkelijk zijn opgelost.

Kies voor Praegus voor jouw pentesting

Praegus is de expert in testen. Wij zorgen voor ijzersterke ICT én ijzersterke organisaties.

Om jouw ICT te beschermen tegen aanvallen van buitenaf werken wij met de beste tools en de beste partners. Wij schakelen alleen de beste testexperts in voor het testen van jouw applicatie, systemen en applicaties.

De pentesters die voor jou aan de slag gaan hebben een uitgebreide kennis van veiligheidsrisico’s en kwetsbaarheden. Ze hebben ruime ervaring met het pentesten van systemen, software en applicaties bij de meest uiteenlopende bedrijven.

Daarnaast zorgen wij voor kristalheldere rapportages en duidelijke aanbevelingen zodat jullie weten wat er moet gebeuren om de veiligheid te waarborgen. Wij gebruiken daarvoor de CVSS rekenmethode voor het bepalen van de classificatie.

Het rapport bestaat verder uit:

  • Management samenvatting met een heldere uitleg van de relevante risico’s en eventuele gevolgen
  • Introductie en beschrijving van de opdracht en scope
  • Bevindingen en aanbevelingen waar eventuele Proof of Concepts in bijlages worden uitgewerkt

Uiteraard kunnen wij jullie ook bijstaan bij het oplossen en implementeren van de oplossingen zodat jullie gegarandeerd zijn van de best beveiligde ICT.

Voor meer informatie over hoe wij jullie kunnen helpen, ga naar onze pentesting pagina op praegus.nl