Wat is een pentest en wat zijn de voordelen ervan?

Wat is een pentest?

Vind kwetsbaarheden in uw beveiliging voordat uw tegenstanders dat doen.

Wat als u uw organisatie zou kunnen zien zoals aanvallers dat doen? U zou dan kunnen weten hoe goed uw beveiligingsmaatregelen werken, en hoe u ze kan verbeteren aan de hand van unieke aanvalsscenario’s die relevant zijn voor uw organisatie.

Door het uitvoeren van een penetratietest (pentest) onderzoekt Warpnet uw beveiliging door de lens van een aanvaller. Hiermee brengen we kwetsbaarheden en verbeterpunten in kaart, met uitvoerbare adviezen voor een sterker beveiligingsbeleid.

Zoals de gezegde luidt, voorkomen is beter dan genezen.

Evalueer uw beveiligingsmaatregelen

Ontdek en herstel kwetsbaarheden

Verbeter het Cyberbewustzijn in uw organisatie

Realiseer compliance met beveiligingsnormen

Demonstreer uw toewijding aan beveiliging

Prioriteer toekomstige security investeringen

Hoe het werkt

Test uw security tegen het arsenaal van een hacker

Benader uw beveiliging zoals een echte aanvaller dat zou doen, aan de hand van handmatige methoden en technieken die kwetsbaarheidsscanners simpelweg niet aan het licht brengen. Test uw detectie- en responsmaatregelen en herstel kwetsbaarheden voordat ze worden misbruikt.  

In de aanval tegen aanvallers

Een team van experts beoordeelt uw beveiliging door de lens van een tegenstander, door de geavanceerde tactieken en technieken van een aanvaller na te bootsen.

Breng kwetsbaarheden in kaart

Onze ervaren Cybersecurity specialisten zetten uw beveiligingsbeleid onder druk, met als gevolg inzage in potentiële kwetsbaarheden met advies voor herstel.

Versterk uw Cybersecurity

Pas (onder begeleiding van onze experts) de aanbevolen stappen voor herstel toe om de kwetsbaarheden die tijdens de pentest waren vastgesteld te verhelpen.

Waarom Warpnet?

Vrijblijvend adviesgesprek?

Contact opnemen

Waarom Warpnet

Diepgaande pentests door ervaren hackers

Wij zijn al sinds 1996 expert op het gebied van Cybersecurity, en onze werkwijze weerspiegelt deze expertise; terwijl veel bedrijven zwaar inzetten op geautomatiseerde scanners, is dit voor ons slechts het beginpunt van een pentest. De aanknopingspunten die een scan oplevert, nemen we mee in ons aanvalsplan en vanuit daar beginnen we pas met het echte werk.

Specialisten in compliance

Warpnet is gespecialiseerd in het uitvoeren van pentests voor het naleven van diverse beveiligingsnormen zoals ISO 27001, NEN 7510, BIO en DigiD.

Experts met accreditatie

Alle Ethical Hackers die deel uitmaken van het Warpnet team zijn onafhankelijk gekwalificeerd door in de branche erkende instanties zoals Offensive Security.

Resultaatgerichte pentesters

Hoe doelmatig zijn onze pentesters? 75% van de kwetsbaarheden ontdekt door het team van Warpnet werden niet gedetecteerd door geautomatiseerde tools.

Tevreden klanten

IT-Specialisten

2000

Uitgevoerde opdrachten

Pentest types

Mobiele Applicatie

Een pentest van een mobiele applicatie omvat een onderzoek naar de logica van de applicatie, een technische analyse en de analyse van elementen die kunnen worden geëxtraheerd (reverse engineering). Op deze manier biedt een pentest inzage in de aanwezigheid van kwetsbaarheden die een mobiele applicatie met zich mee kan brengen.

Webapplicatie

Het uitvoeren van een pentest op een webapplicatie omvat een onderzoek van applicaties die via een webbrowser worden gepresenteerd. Het onderzoek vindt plaats door middel van het scannen van kwetsbaarheden, de exploitatie van kwetsbaarheden, rapportage en het opstellen van actiegericht advies. 

Zakelijk Netwerk

Een pentest van uw zakelijke netwerk omvat een onderzoek van de beveiliging van uw netwerk en hoe deze is geconfigureerd. Op geautomatiseerde wijze wordt een netwerk in kaart gebracht om te achterhalen welke (bekende) beveiligingsrisico’s zich daar voordoen. De bevindingen hiervan gebruiken we als aanknooppunten om handmatig verder te testen.

Wi-Fi Netwerk

Een Wi-Fi pentest omvat het testen van de beveiliging van draadloze netwerken binnen een organisatie door middel van het scannen van kwetsbaarheden, de exploitatie van kwetsbaarheden, rapportage en het opstellen van actiegericht advies.   

Code Review

Bij een code review wordt de broncode van een applicatie of systeem op potentiële kwetsbaarheden gereviewd. Naast de code zelf, wordt er ook aandacht besteed aan documentatie, commentaar, gebruikte coding standards, versiebeheer, ontwikkelmethoden, gebruik van externe frameworks, libraries etc.

Pentest basisstrategieën

Black Box

Een Black Box pentest gaan uit van een totaal gebrek aan kennis van de te verkennen omgeving of applicatie; het pentest team heeft geen inzicht tot toepassingen en gebruikers.

Grey Box

Bij een Grey Box pentest krijgt het team gedeeltelijke informatie over het doelwit, zoals technologieën en geautoriseerde gebruikersaccounts.

White Box

Bij een White Box pentest is gedetailleerde informatie verstrekt over de technologieën en doeltoepassingen. Dit omvat de broncode van de toepassing, accounts, architectuur, en meer…

Veelgestelde vragen

Wat is het doel van een pentest?

Alvorens wij een pentest uitvoeren, stellen wij samen met u de belangrijkste doelstellingen vast. Zo zorgen we er namelijk voor dat onze werkwijze direct aansluit op de unieke doelstellingen van uw organisatie.

Wat kost een pentest?

De kosten van een penetratietest variëren en hangen af van de doelstellingen die u nastreeft: de te analyseren systemen en/of netwerken, de complexiteit van de test, en de gebruikte methodologie (black box, grey box of white box). Warpnet benut geen ‘out-of-the-box’ benaderingen; alle opdrachten die wij uitvoeren zijn maatwerk, waardoor er geen standaardtarief is. Over het algemeen kunnen wij een pentest voor u uitvoeren v.a. €2.400.

Hoe lang duurt een pentest?

Een Warpnet pentest duurt gemiddeld 4 dagen, hoewel de duur kan variëren op basis van de omvang en doelstellingen van de pentest. De bijbehorende rapportage wordt standaard een week na het voltooien van de pentest aangeleverd.

Is een eenmalige pentest voldoende?

In het kort, nee. Een pentest is namelijk altijd een momentopname. Zowel de aanvallen als de geteste infrastructuur of applicatie evolueren, zodat de resultaten van een test na verloop van tijd minder relevant worden.

Kan een pentest schade veroorzaken?

Nee. Onze specialist weten hoe ze veilig kunnen binnendringen in applicaties en netwerken, zonder werkelijke schade of verstoring te veroorzaken. Bovendien hebben wij ijzersterke garanties, zodat alle gegevens waartoe wij toegang hebben, met het grootste vertrouwen en de grootste veiligheid worden behandeld.

Wat gebeurt er nadat de pentest is uitgevoerd?

Om het herstelproces te vergemakkelijken, moeten pentests worden geëvalueerd om er zeker van te zijn dat ze bruikbare richtlijnen opleveren voor tastbare verbeteringen van de beveiliging. Na elke opdracht moet de ethische hacker die aan de test wordt toegewezen een op maat gemaakt schriftelijk rapport opstellen, waarin de risico’s van de geïdentificeerde zwakke punten worden gedetailleerd en beoordeeld, en waarin aanbevelingen worden gedaan voor herstelmaatregelen. Een leverancier kan ook een uitgebreide telefonische debriefing aanbieden na het indienen van het rapport.

Helpt Warpnet bij het oplossen van gevonden risico’s?

Het verhelpen van de vastgestelde kwetsbaarheden is vaak een complex proces vanwege de specialistische vaardigheden die hiervoor nodig zijn. Als onderdeel van onze nazorgondersteuning bieden wij daarom hulp bij het herstellen van de vastgestelde kwetsbaarheden. Tijdens dit proces lichten wij uw team zonder extra kosten in over diverse Cybersecurity best practices.

Wie zou er een pentest moeten (laten) uitvoeren?

Idealiter iedereen. Cybercriminaliteit heeft zich zodanig uitgebreid dat zelfs kleine bedrijven zich niet meer te klein kunnen achten voor een aanval. Zoals we hebben gezien bij recente grootschalige aanvallen, zoals de WannaCry ransomware-uitbraak, loopt iedereen risico.

Hoeveel van de test wordt automatisch uitgevoerd?

Een vraag die te weinig mensen stellen is hoeveel van het testen geautomatiseerd is versus handmatig. Hoewel geautomatiseerde hulpmiddelen een korte stap in het begin van ons proces zijn, is een groot deel van onze tests handmatig. De hoeveelheid handmatig werk varieert per opdracht, maar ongeveer 95% van de pentest is hands-on.

Wat is het verschil tussen een pentest en Red Teaming?

Pentesting en Red Teaming dienen verschillende doelen en zijn afhankelijk van de volwassenheid van de beveiliging en de testdoelen van een organisatie. Pentests hebben een meer algemene aanpak door het vinden en uitbuiten van zoveel mogelijk kwetsbaarheden in een bepaald tijdsbestek. Red Teaming is een op scenario’s gebaseerde aanvalssimulatie die de detectie- en reactiemogelijkheden van een organisatie test tegen verschillende aanvallen, zoals ransomware en phishingpogingen, om aanbevelingen voor verbeteringen te kunnen doen.

Wat onderscheidt een pentest van een Vulnerability Scan?

Kwetsbaarheidscans (Vulnerability Scans) bepalen de mate waarin kritieke systemen en gevoelige informatie kwetsbaar zijn voor compromittering of aanvallen. Pentests gaan een stap verder en maken gebruik van de gedetecteerde kwetsbaarheden om toegang te krijgen tot kritieke systemen of gevoelige informatie. Hoewel geautomatiseerd scannen op kwetsbaarheden u kan helpen bij het identificeren van zwakke plekken in de beveiliging, kan het u niet helpen bij het evalueren van de kracht van de beveiligingsmaatregelen van uw organisatie tegen een menselijke aanvaller.

Hoe ondersteunt een pentest compliance-doeleinden?

Pentests spelen een belangrijke rol in het helpen van organisaties om te voldoen aan vereisten op het gebied van compliance en regelgeving door kwetsbaarheden op proactieve wijze te detecteren zodat deze vervolgens verholpen kunnen worden. Regelgevende kaders zoals de Algemene Verordening Gegevensbescherming (AVG), en diverse beveiligingsnormen zoals ISO 27001 schrijven voor dat organisaties robuuste beveiligingsmaatregelen implementeren om gevoelige gegevens te beschermen. Pentests laten zien dat een organisatie zich inzet om een veilige omgeving te handhaven, waardoor het risico op inbreuken en de daaruit voortvloeiende boetes worden verminderd.

Klaar om over uw Cybersecurity te sparren?

”Warpnet steunt ons regelmatig bij het beveiligen van onze SaaS oplossingen, en is daarmee de ideale security sparringpartner.”
–Marco Vellinga, Spindle