Pentest

Ontdek en verhelp kwetsbaarheden in uw systemen voordat er een incident kan plaatsvinden.

Warpnet icon
Pentest

Security Testing

Pentest specialisten die in resultaten denken

Zowel in cybersecurity als in het leven zijn onze eigen zwakke plekken het moeilijkst om aan te wijzen. Gelukkig hebben wij geen enkel probleem met het vastleggen van de risicopunten in uw (web)applicaties, netwerken en hardware. Sterker nog, we doen eigenlijk niets anders. En dat is maar goed ook: weten waar uw kwetsbaarheden precies liggen—en hoe aanvallers deze kunnen misbruiken—is onmisbaar voor het verbeteren van uw security strategie. Door een pentest uit te voeren helpen we u deze doelstellingen te bereiken:

 ”Ik wil weten waar de zwakke plekken in onze systemen zich schuilen.”

 ”Ik denk dat onze beveiliging goed werkt, maar ik wil meer zekerheid.”

 ”Ik wil compliant worden met een bepaalde wetgeving/normenkader.”

Why Warpnet?

Wat voor anderen het eindpunt is, is voor ons slechts het halve werk

De meeste cybersecurity partijen beschouwen een pentest als voltooid zodra de rapportage is aangeleverd. Warpnet denkt hier anders over We zijn pas tevreden zodra uw beveiliging aantoonbaar op orde is. Met dit doel voor ogen begeleiden we u bij het verhelpen van de risico’s die we voor u in kaart brengen.

Dit maakt Warpnet de enige pentest specialist in Nederland die een aanpak hanteert waarmee u meer krijgt dan alleen inzicht. Het is onze missie om ervoor te zorgen dat uw beveiliging daadwerkelijk bestand is tegen geavanceerde aanvallen. We ondersteunen u daarom van begin tot eind van de test, en daarna.

Even met een expert sparren?

Hoe verloopt een pentest?

Elke specialist kan risico’s vastleggen. Ze verhelpen? Dat is onze specialiteit.

  1. We werken met u samen om de omvang, doelomgeving en gewenste resultaten van de pentest te bepalen.
  1. We verzamelen en analyseren gegevens over het doelwit met behulp van openbare bronnen (ofwel OSINT).
  1. We scannen op recente en actuele kwetsbaarheden door middel van diverse geavanceerde scanmethoden.
  1. Onze ethische hackers gebruiken de ontdekte risico’s om toegang te krijgen tot uw systemen en gegevens.
  1. U ontvangt gedetailleerde rapportage waarin we de ontdekte risico’s toelichten, met uitvoerbare adviezen.

Optioneel en uniek aan Warpnet:

  1. We ondersteunen u bij het verhelpen van de risico’s die tijdens de test zijn vastgesteld door technisch inzicht en advies te bieden.
  1. Nadat de aanbevelingen zijn toegepast voeren we een re-test uit, om u zekerheid te geven dat de kwetsbaarheden zijn verholpen.
20
Gedreven specialisten
300
Tevreden klanten
2000
Uitgevoerde opdrachten
50000
Ontdekte kwetsbaarheden

Wat leveren we aan?

Pentest rapportage

De bevindingen van de pentest worden vastgelegd in een eindrapport, met hierin een uitgebreide en behapbare managementsamenvatting. De vastgestelde kwetsbaarheden worden beoordeeld en aangevuld met aanbevelingen en verbeteracties, en worden geprioriteerd op basis van het risico dat ermee samenhangt. Bovendien geven we aanbevelingen voor toekomstige beveiligingsmaatregelen.

Wat voor testsoorten zijn er?

Pentest methodologieën


Een Black Box pentest gaan uit van een totaal gebrek aan informatie over het doelwit; de testers hebben geen inzicht in de opbouw van de doelomgeving en welke gebruikers er zijn.

Grey Box


Bij een Grey Box pentest krijgt het team gedeeltelijke informatie over het doelwit. Denk bijvoorbeeld aan gebruikte technologieën en geautoriseerde gebruikersaccounts.

White Box


In het geval van een White Box pentest wordt gedetailleerde informatie verstrekt over de doelomgeving. Dit omvat de broncode van het doelwit, accounts, architectuur, en meer.

FAQ

Wat is een pentest?

Een pentest (ofwel penetratietest) is een beveiligingstest waarbij cyberbeveiligingsexperts kwetsbaarheden in een computersysteem proberen te vinden en uit te buiten. Het doel van deze gesimuleerde aanval is het identificeren van zwakke plekken in de verdediging van een systeem waar aanvallers misbruik van zouden kunnen maken.

Dit is alsof een bank iemand inhuurt om zich als inbreker te verkleden en probeert in te breken in hun gebouw en toegang te krijgen tot de kluis. Als de ‘inbreker’ slaagt en de bank of de kluis binnendringt, krijgt de bank waardevolle informatie over hoe ze hun beveiligingsmaatregelen moeten aanscherpen.

Wat zijn de voordelen van een pentest?

Een pentest is een cruciaal onderdeel van netwerkbeveiliging. Door middel van deze tests ontdekt een organisatie:

  1. Kwetsbaarheden in de beveiliging voordat een hacker dat doet
  2. Hiaten in compliance met beveiligingsnormen
  3. De reactietijd van hun informatiebeveiligingsteam, d.w.z. hoe lang het duurt voordat het team zich realiseert dat er een inbreuk is en de gevolgen beperkt
  4. Het potentiële werkelijke effect van een datalek of cyberaanval
  5. Handvatten voor probleemherstel

Door middel van pentesting kunnen beveiligingsprofessionals op effectieve wijze de beveiliging van multi-tier netwerkarchitecturen, aangepaste toepassingen, webservices en andere IT-componenten vinden en testen. Deze tools en services voor pentests helpen u snel inzicht te krijgen in de gebieden met het hoogste risico, zodat u effectief beveiligingsbudgetten en -projecten kunt plannen.

Het grondig testen van de gehele IT-infrastructuur van een bedrijf is noodzakelijk om de voorzorgsmaatregelen te nemen die nodig zijn om vitale gegevens te beveiligen tegen hackers en tegelijkertijd de reactietijd van een IT-afdeling te verbeteren in het geval van een aanval.

Wat kost een pentest?

De kosten van een pentest variëren en hangen af van de doelstellingen die u nastreeft: de te analyseren systemen en/of netwerken, de complexiteit van de test, en de gebruikte methodologie (black box, grey box of white box).

Warpnet benut geen ‘out-of-the-box’ benadering bij het uitvoeren van een pentest; alle opdrachten die wij uitvoeren zijn maatwerk, waardoor er geen standaardtarief is.

Als algemene indicatie kunnen wij vanaf 2.400 al een specialistische pentest voor u uitvoeren.

Hoe lang duurt een pentest?

Een Warpnet pentest duurt gemiddeld 4 dagen, hoewel de duur kan variëren op basis van de omvang en doelstellingen van de pentest.

De bijbehorende rapportage wordt standaard een week na het voltooien van de pentest aangeleverd.

Is een eenmalige pentest voldoende?

In het kort, nee.

Een pentest is namelijk altijd een momentopname. Zowel de aanvallen als de geteste infrastructuur of applicatie evolueren, zodat de resultaten van een test na verloop van tijd minder relevant worden.

Wie zou er een pentest moeten (laten) uitvoeren?

Idealiter iedereen. Cybercriminaliteit heeft zich zodanig uitgebreid dat zelfs kleine bedrijven zich niet meer te klein kunnen achten voor een aanval.

Zoals we hebben gezien bij recente grootschalige aanvallen, zoals de WannaCry ransomware-uitbraak, loopt iedereen risico.

Kan een pentest schade veroorzaken?

Nee. Onze pentest specialisten weten hoe ze veilig kunnen binnendringen in applicaties en netwerken, zonder werkelijke schade of verstoring te veroorzaken.

Bovendien hebben wij ijzersterke garanties, zodat alle gegevens waartoe wij toegang hebben, met het grootste vertrouwen en de grootste veiligheid worden behandeld.

Hoeveel van de test wordt automatisch uitgevoerd?

Een vraag die te weinig mensen stellen is hoeveel van het testen geautomatiseerd is versus handmatig.

Hoewel geautomatiseerde hulpmiddelen een korte stap in het begin van ons proces zijn, is een groot deel van onze tests handmatig. De hoeveelheid handmatig werk varieert per opdracht, maar ongeveer 95% van de pentest is hands-on.

Hoe ondersteunt een pentest compliance-doeleinden?

Pentests spelen een belangrijke rol in het helpen van organisaties om te voldoen aan vereisten op het gebied van compliance en regelgeving door kwetsbaarheden op proactieve wijze te detecteren zodat deze vervolgens verholpen kunnen worden.

Regelgevende kaders zoals de Algemene Verordening Gegevensbescherming (AVG), en diverse beveiligingsnormen zoals ISO 27001 schrijven voor dat organisaties robuuste beveiligingsmaatregelen implementeren om gevoelige gegevens te beschermen.

Pentests laten zien dat een organisatie zich inzet om een veilige omgeving te handhaven, waardoor het risico op inbreuken en de daaruit voortvloeiende boetes wordt verminderd.

Waar zijn de meeste kwetsbaarheden te vinden?

Er is geen eenduidig antwoord op deze vraag omdat kwetsbaarheden overal in de organisatie aanwezig kunnen zijn: hoofdwebsites, kernsystemen, systemen voor externe toegang, mobiele apps en beheersystemen. Het is waar dat veel “laaghangend fruit” kwetsbaarheden bestaan in over het hoofd geziene hoeken van een organisatie, een oude testomgeving bijvoorbeeld is geneigd om oude en verouderde frameworks te hebben.

Het maakt de aanvaller niet uit dat het systeem niet in gebruik of vergeten is, zolang hij het maar kan uitbuiten en er een toegangspunt tot het interne netwerk van de organisatie van kan maken.

Een organisatie moet zich altijd bewust zijn van haar zwakke plekken door regelmatig pentests uit te voeren op elk systeem en op het hele netwerk.

Wat gebeurt er nadat de pentest is uitgevoerd?

Om het herstelproces te vergemakkelijken, moeten pentests worden geëvalueerd om er zeker van te zijn dat ze bruikbare richtlijnen opleveren voor tastbare verbeteringen van de beveiliging.

Na elke opdracht moet de ethische hacker die aan de test wordt toegewezen een op maat gemaakt schriftelijk rapport opstellen, waarin de risico’s van de geïdentificeerde zwakke punten worden gedetailleerd en beoordeeld, en waarin aanbevelingen worden gedaan voor herstelmaatregelen.

Een leverancier kan ook een uitgebreide debriefing aanbieden na het indienen van het rapport.

Helpt Warpnet bij het oplossen van gevonden risico’s?

Het verhelpen van de vastgestelde kwetsbaarheden is vaak een complex proces vanwege de specialistische vaardigheden die hiervoor nodig zijn.

Als onderdeel van onze nazorgondersteuning bieden wij daarom hulp bij het herstellen van de vastgestelde kwetsbaarheden. Tijdens dit proces lichten wij uw team zonder extra kosten in over diverse cybersecurity best practices.

Is het verstandig om de uitslag van een pentest te delen?

Het is geen goed idee om resultaten naar buiten uw organisatie te sturen; een pentest rapport bevat uiterst gevoelige informatie die zeer vertrouwelijk is en alleen beschikbaar mag worden gesteld aan vertrouwde interne bronnen op een “need-to-know” basis. Het delen van gedetailleerde rapporten met externe personen wordt niet aanbevolen.

Als het de rapportage eenmaal is gedeeld met een externe partij, is controle over de verspreiding ervan moeilijk te garanderen. Een pentest rapport kan een routekaart naar de kwetsbaarheden van een organisatie zijn en moet niet buiten de organisatie worden verspreid tenzij het absoluut noodzakelijk is.

Hoe verschilt een pentest van een vulnerability scan?

Pentesting en vulnerability scanning zijn beide bedoeld om kwetsbaarheden en andere beveiligingsproblemen op te sporen. Ze verschillen echter aanzienlijk qua techniek en de soorten problemen die ze kunnen detecteren.

In tegenstelling tot een pentest, wordt het scannen op kwetsbaarheden volledig uitgevoerd met behulp van geautomatiseerde tools. Deze tools bevatten databases met handtekeningen van bekende aanvallen zoals CVE’s en kwetsbaarheden die zijn opgenomen in de OWASP Top Tien lijst. De tool beoordeelt of de doelsystemen deze kwetsbaarheden kunnen bevatten en genereert een geautomatiseerd rapport met een beschrijving van alle ontdekte kwetsbaarheden en hun ernst.

Pentests bieden een dieper inzicht in de kwetsbaarheden van een organisatie dan een kwetsbaarheidsscan. Terwijl het scannen op kwetsbaarheden beveiligingsproblemen identificeert in het aanvalsoppervlak van een organisatie, bestaat pentesting uit het uitbuiten en combineren van deze kwetsbaarheden om diepere toegang te krijgen.

Het scannen op kwetsbaarheden maakt vaak deel uit van een pentest, waarbij laaghangend fruit en potentiële plaatsen worden geïdentificeerd waar een pentester zijn beoordeling kan beginnen. Een pentest gaat echter dieper, wat een beter begrip oplevert van de impact van verschillende kwetsbaarheden en helpt om vals-positieve detecties te elimineren.

Wat mag ik verwachten van de rapportage na het testen?

De pentester moet minimaal een samenvatting van de bevindingen leveren met daarin een overzicht van wat er is bereikt en welke eventuele belangrijke kwesties aan het licht zijn gekomen.

Dit moet worden gevolgd door een gedetailleerd samenvattend rapport dat elk gevonden probleem beschrijft, een risicobeoordeling voor elk probleem met enige context waarin wordt uitgelegd hoe de risicoclassificatie is gekozen en met aanbevolen corrigerende maatregelen duidelijk omschreven. Een volledige walkthrough van de pentesting aanpak dient te worden bijgevoegd indien relevant. Vaak worden er ook aanvullende rapporten geleverd om de bevindingen in de samenvattende rapporten te ondersteunen.

Het is bijvoorbeeld gebruikelijk om kwetsbaarheidsscans uit te voeren tijdens een penetratietest en deze scanrapporten kunnen in een aparte omslag worden geleverd.

Contact

Meer weten? We helpen u graag verder.

Jeff Schaafsma
Cybersecurity Adviseur