Penetratietesten (pentesting) speelt een belangrijke rol bij het vaststellen of de technische invulling van uw security beleid op orde is. Maar hoe kunnen ‘’Ethical Hackers’’ er zeker van zijn dat ze op een correcte manier te werk gaan? Het antwoord lijkt te liggen in het volgen van gestructureerde kaders. In dit artikel bespreken we de meest voorkomende methodologieën, en wat zij voor organisaties en Cyberspecialisten kunnen betekenen.
Pentest Methoden
De meest voorkomende methoden voor het uitvoeren van pentests zijn:
- OWASP Top 10
- OSSTMM
- NIST
- PTES
- ISSAF
Wat is OWASP?
De Open Web Application Security Project (OWASP), wereldwijd erkend door developers en Cybersecurity specialisten, is een stichting die organisaties ondersteunt bij het verbeteren van de beveiliging van hun webapplicaties. De OWASP stelt diverse gidsen en hulpmiddelen beschikbaar, waaronder de OWASP Web Security Testing Guide (WSTG), de OWASP Mobile Application Security Testing Guide (MASTG) en de OWASP Top 10.
De OWASP Top 10 is een kenmerkend hulpmiddel dat regelmatig terugkomt in de WSTG. Deze biedt een rangschikking van de meest voorkomende problemen met de beveiliging van webapplicaties.
Wat is OSSTMM?
De Open Source Security Testing Methodology Manual (OSSTMM) biedt een stappenplan voor het uitvoeren van beveiligingsassessments, met de nadruk op de huidige stand van zaken in Cybersecurity. Daarom wordt de OSSTMM ongeveer om de zes maanden bijgewerkt.
Belangrijk om te weten is dat de OSSTMM is ontwikkeld als een methode voor beveiligingsaudits om te voldoen aan het normenkader, in plaats van als een methode uitsluitend voor het uitvoeren van pentests. Dit betekent dat het niet zo uitgebreid is als bijvoorbeeld De OWASP Top 10, en dat het geen tools en benaderingen biedt voor het voltooien van bepaalde stadia in het pentestproces. Het is echter een waardevol hulpmiddel voor het voldoen aan de wettelijke vereisten die voor een organisatie van toepassing is.
Wat is NIST?
Het cyberbeveiligingskader van het National Institute of Standards and Technology (NIST) biedt gestructureerde richtlijnen en best practices voor organisaties die hun beveiligingsbeleid willen versterken. Het kader bevat een reeks aanbevelingen en normen waarmee organisaties beter instaat zijn om Cyberincidenten te herkennen, voorkomen en herstellen.
Als onderdeel van het overkoepelende kader is NIST-pentesten een methodologie die aansluit op de gedetailleerde richtlijnen van NIST. Om aan deze normen te voldoen, moeten bedrijven pentests uitvoeren op hun toepassingen en netwerken volgens een reeks aan van tevoren bepaalde richtlijnen.
Wat is de PTES?
De Penetration Testing Execution Standard (PTES) is ontworpen om een duidelijkheid te bieden over wat organisaties van een pentest mogen verwachten. De PTES is niet alleen een van de meest recent ontwikkelde methodologieën voor pentesting, maar ook een van de meest uitgebreide.
De PTES-methodologie is een gestructureerde aanpak voor pentesting die een balans zoekt tussen de algemene prioriteiten die door de PTES zijn bepaald, en de kwetsbaarheden die uniek zijn aan de organisatie.
Wat is ISSAF?
De Information System Security Assessment Framework (ISSAF) is ontwikkeld door de Open Information Systems Security Group (OISSG). Het verbindt individuele penteststappen met nuttige tools, met als doel om een complete gids te bieden voor het uitvoeren van een pentest. Op deze manier worden organisaties in staat gesteld om uiteindelijk hun eigen pentestmethodologieën te ontwikkelen, gericht op hun eigen doelen en omstandigheden.
Het belangrijkste kenmerk van de ISSAF is dat het uitgebreide technische begeleiding voor het testen biedt, in tegenstelling tot kaders zoals de OSSTMM die voornamelijk auditmethodologieën bieden.
Welke methode gebruiken we bij Warpnet?
Wij maken gebruik van OWASP, omdat deze inzicht biedt in de best practices die wereldwijd worden gebruikt door erkende pentesters en organisaties. Op deze manier kunnen we onze kennis combineren met die van Cybersecurity experts van over de hele wereld. Daarnaast zien we de OWASP Top 10 als een waardevolle manier om de ontwikkeling van actuele aanvalsmethoden bij te houden.
Meer weten over pentesting, en welke benadering wij aanraden voor uw organisatie? Aarzel niet om contact met ons op te nemen!