Pentest

Een pentest (ofwel penetratietest) is een beveiligingsoefening waarbij een cyberbeveiligingsexpert kwetsbaarheden in een computersysteem probeert te vinden en uit te buiten. Het doel van deze gesimuleerde aanval is het identificeren van zwakke plekken in de verdediging van een systeem waar aanvallers misbruik van zouden kunnen maken.

Dit is alsof een bank iemand inhuurt om zich als inbreker te verkleden en probeert in te breken in hun gebouw en toegang te krijgen tot de kluis. Als de ‘inbreker’ slaagt en de bank of de kluis binnendringt, krijgt de bank waardevolle informatie over hoe ze hun beveiligingsmaatregelen moeten aanscherpen.

Een pentest is een cruciaal onderdeel van netwerkbeveiliging. Door middel van deze tests ontdekt een organisatie:

1. Kwetsbaarheden in de beveiliging voordat een hacker dat doet
2. Hiaten in compliance met beveiligingsnormen
3. De reactietijd van hun informatiebeveiligingsteam, d.w.z. hoe lang het duurt voordat het team zich realiseert dat er een inbreuk is en de gevolgen beperkt
4. Het potentiële werkelijke effect van een datalek of cyberaanval
5. Handvatten voor probleemherstel

Door middel van pentesting kunnen beveiligingsprofessionals op effectieve wijze de beveiliging van multi-tier netwerkarchitecturen, aangepaste toepassingen, webservices en andere IT-componenten vinden en testen. Deze tools en services voor pentests helpen u snel inzicht te krijgen in de gebieden met het hoogste risico, zodat u effectief beveiligingsbudgetten en -projecten kunt plannen.

Het grondig testen van de gehele IT-infrastructuur van een bedrijf is noodzakelijk om de voorzorgsmaatregelen te nemen die nodig zijn om vitale gegevens te beveiligen tegen hackers en tegelijkertijd de reactietijd van een IT-afdeling te verbeteren in het geval van een aanval.

De kosten van een pentest variëren en hangen af van de doelstellingen die u nastreeft: de te analyseren systemen en/of netwerken, de complexiteit van de test, en de gebruikte methodologie (black box, grey box of white box).

Warpnet benut geen ‘out-of-the-box’ benadering bij het uitvoeren van een pentest; alle opdrachten die wij uitvoeren zijn maatwerk, waardoor er geen standaardtarief is.

Een Warpnet pentest duurt gemiddeld 4 dagen, hoewel de duur kan variëren op basis van de omvang en doelstellingen van de pentest.

De bijbehorende rapportage wordt standaard een week na het voltooien van de pentest aangeleverd.

In het kort, nee.

Een pentest is namelijk altijd een momentopname. Zowel de aanvallen als de geteste infrastructuur of applicatie evolueren, zodat de resultaten van een test na verloop van tijd minder relevant worden.

Idealiter iedereen. Cybercriminaliteit heeft zich zodanig uitgebreid dat zelfs kleine bedrijven zich niet meer te klein kunnen achten voor een aanval.

Zoals we hebben gezien bij recente grootschalige aanvallen, zoals de WannaCry ransomware-uitbraak, loopt iedereen risico.

Nee. Onze pentest specialisten weten hoe ze veilig kunnen binnendringen in applicaties en netwerken, zonder werkelijke schade of verstoring te veroorzaken.

Bovendien hebben wij ijzersterke garanties, zodat alle gegevens waartoe wij toegang hebben, met het grootste vertrouwen en de grootste veiligheid worden behandeld.

Een vraag die te weinig mensen stellen is hoeveel van het testen geautomatiseerd is versus handmatig.

Hoewel geautomatiseerde hulpmiddelen een korte stap in het begin van ons proces zijn, is een groot deel van onze tests handmatig. De hoeveelheid handmatig werk varieert per opdracht, maar ongeveer 95% van de pentest is hands-on.

Pentests spelen een belangrijke rol in het helpen van organisaties om te voldoen aan vereisten op het gebied van compliance en regelgeving door kwetsbaarheden op proactieve wijze te detecteren zodat deze vervolgens verholpen kunnen worden.

Regelgevende kaders zoals de Algemene Verordening Gegevensbescherming (AVG), en diverse beveiligingsnormen zoals ISO 27001 schrijven voor dat organisaties robuuste beveiligingsmaatregelen implementeren om gevoelige gegevens te beschermen.

Pentests laten zien dat een organisatie zich inzet om een veilige omgeving te handhaven, waardoor het risico op inbreuken en de daaruit voortvloeiende boetes wordt verminderd.

Er is geen eenduidig antwoord op deze vraag omdat kwetsbaarheden overal in de organisatie aanwezig kunnen zijn: hoofdwebsites, kernsystemen, systemen voor externe toegang, mobiele apps en beheersystemen. Het is waar dat veel “laaghangend fruit” kwetsbaarheden bestaan in over het hoofd geziene hoeken van een organisatie, een oude testomgeving bijvoorbeeld is geneigd om oude en verouderde frameworks te hebben.

Het maakt de aanvaller niet uit dat het systeem niet in gebruik of vergeten is, zolang hij het maar kan uitbuiten en er een toegangspunt tot het interne netwerk van de organisatie van kan maken.

Een organisatie moet zich altijd bewust zijn van haar zwakke plekken door regelmatig pentests uit te voeren op elk systeem en op het hele netwerk.

Om het herstelproces te vergemakkelijken, moeten pentests worden geëvalueerd om er zeker van te zijn dat ze bruikbare richtlijnen opleveren voor tastbare verbeteringen van de beveiliging.

Na elke opdracht moet de ethische hacker die aan de test wordt toegewezen een op maat gemaakt schriftelijk rapport opstellen, waarin de risico’s van de geïdentificeerde zwakke punten worden gedetailleerd en beoordeeld, en waarin aanbevelingen worden gedaan voor herstelmaatregelen.

Een leverancier kan ook een uitgebreide debriefing aanbieden na het indienen van het rapport.

Het verhelpen van de vastgestelde kwetsbaarheden is vaak een complex proces vanwege de specialistische vaardigheden die hiervoor nodig zijn.

Als onderdeel van onze nazorgondersteuning bieden wij daarom hulp bij het herstellen van de vastgestelde kwetsbaarheden. Tijdens dit proces lichten wij uw team zonder extra kosten in over diverse cybersecurity best practices.

Het is geen goed idee om resultaten naar buiten uw organisatie te sturen; een pentest rapport bevat uiterst gevoelige informatie die zeer vertrouwelijk is en alleen beschikbaar mag worden gesteld aan vertrouwde interne bronnen op een “need-to-know” basis. Het delen van gedetailleerde rapporten met externe personen wordt niet aanbevolen.

Als het de rapportage eenmaal is gedeeld met een externe partij, is controle over de verspreiding ervan moeilijk te garanderen. Een pentest rapport kan een routekaart naar de kwetsbaarheden van een organisatie zijn en moet niet buiten de organisatie worden verspreid tenzij het absoluut noodzakelijk is.

Pentesting en vulnerability scanning zijn beide bedoeld om kwetsbaarheden en andere beveiligingsproblemen op te sporen. Ze verschillen echter aanzienlijk qua techniek en de soorten problemen die ze kunnen detecteren.

In tegenstelling tot een pentest, wordt het scannen op kwetsbaarheden volledig uitgevoerd met behulp van geautomatiseerde tools. Deze tools bevatten databases met handtekeningen van bekende aanvallen zoals CVE’s en kwetsbaarheden die zijn opgenomen in de OWASP Top Tien lijst. De tool beoordeelt of de doelsystemen deze kwetsbaarheden kunnen bevatten en genereert een geautomatiseerd rapport met een beschrijving van alle ontdekte kwetsbaarheden en hun ernst.

Pentests bieden een dieper inzicht in de kwetsbaarheden van een organisatie dan een kwetsbaarheidsscan. Terwijl het scannen op kwetsbaarheden beveiligingsproblemen identificeert in het aanvalsoppervlak van een organisatie, bestaat pentesting uit het uitbuiten en combineren van deze kwetsbaarheden om diepere toegang te krijgen.

Het scannen op kwetsbaarheden maakt vaak deel uit van een pentest, waarbij laaghangend fruit en potentiële plaatsen worden geïdentificeerd waar een pentester zijn beoordeling kan beginnen. Een pentest gaat echter dieper, wat een beter begrip oplevert van de impact van verschillende kwetsbaarheden en helpt om vals-positieve detecties te elimineren.