Pentest

Laat een realistische aanval simuleren om kwetsbaarheden in uw beveiliging in kaart te brengen - en te verhelpen - voordat er een incident plaatsvindt.

Lees verder Voorbeeldrapportage
Warpnet icon

Pentest services voor
actiegerichte inzichten

In Cybersecurity, net als in het leven, zijn onze eigen zwakke punten het moeilijkst om aan te wijzen. Gelukkig hebben we geen probleem met het vastleggen van alle gaten in uw beveiliging. Sterker nog, wij doen eigenlijk niets anders. En dat is maar goed ook: Inzicht in kwetsbaarheden – en hoe hackers deze kunnen misbruiken – is onmisbaar voor een betere Cyberweerbaarheid.

Met dit in gedachten simuleren Warpnet’s pentest experts een levensechte aanval op uw netwerken, applicaties en apparaten. Een lange lijst met problemen is nooit een echte oplossing – daarom geven we prioriteit aan de stappen met de meeste impact, en zorgen we ervoor dat u over heldere context beschikt om kwetsbaarheden in uw aanvalsoppervlak doelmatig te verhelpen.

Hoe mogen we u helpen?

Laat onze experts een aanval op uw systemen simuleren om uw zwakke punten aan te tonen (en hoe u ze kan versterken).

Contact opnemen

ENKELE VAN ONZE KLANTEN

pentest

De enige pentest specialist voor volledige ontzorging

De meeste Cybersecurity partijen beschouwen een pentest als voltooid zodra de rapportage is aangeleverd. Warpnet denkt hier anders over We zijn pas tevreden zodra uw beveiliging aantoonbaar op orde is. Met dit doel voor ogen begeleiden we u bij het verhelpen van de risico’s die we voor u in kaart brengen.

Dit maakt Warpnet de enige pentest specialist in Nederland die een aanpak hanteert waarmee u meer krijgt dan alleen inzicht. Het is onze missie om ervoor te zorgen dat uw beveiliging daadwerkelijk bestand is tegen geavanceerde aanvallen. We ondersteunen u daarom van begin tot eind van de test, en daarna.

“Het laten uitvoeren van een pentest door Warpnet is inmiddels een onmisbaar onderdeel van onze ontwikkelingscyclus geworden.”

– Marco Vellinga, Devhouse Spindle

Onze unieke benadering bij het uitvoeren van een pentest

  1. We werken met u samen om de omvang, doelomgeving en gewenste resultaten van de pentest te bepalen.
  1. We verzamelen en analyseren gegevens over het doelwit met behulp van openbare bronnen (ofwel OSINT).
  1. We scannen op recente en actuele kwetsbaarheden door middel van diverse geavanceerde scanmethoden.
  1. Onze ethische hackers gebruiken de ontdekte risico’s om toegang te krijgen tot uw systemen en gegevens.
  1. U ontvangt gedetailleerde rapportage waarin we de ontdekte risico’s toelichten, met uitvoerbare adviezen.

Uniek aan Warpnet:

  1. We ondersteunen u bij het verhelpen van de risico’s die tijdens de test zijn vastgesteld door technisch inzicht en advies te bieden.
  1. Nadat de aanbevelingen zijn toegepast voeren we een re-test uit, om u zekerheid te geven dat de kwetsbaarheden zijn verholpen.
pentest illustratie
20
Gedreven specialisten
300
Tevreden klanten
2000
Uitgevoerde opdrachten
50000
Ontdekte kwetsbaarheden

Pentest rapportage

Alle bevindingen worden gedocumenteerd in een eindrapport, met daarin een uitgebreide managementsamenvatting. De rapportage bevat de resultaten van het onderzoek met bijbehorende bewijsstukken, een risicobeoordeling en aanbevelingen.
Benieuwd hoe dit eruit ziet? Vraag hieronder de voorbeeldrapportage aan.

Voorbeeldrapportage aanvragen

Pentest types

Black Box

Een Black Box pentest gaan uit van een totaal gebrek aan informatie over het doelwit; de testers hebben geen inzicht in de opbouw van de doelomgeving en welke gebruikers er zijn.

Grey Box

Bij een Grey Box pentest krijgt het team gedeeltelijke informatie over het doelwit. Denk bijvoorbeeld aan gebruikte technologieën en geautoriseerde gebruikersaccounts.

White Box

In het geval van een White Box pentest wordt gedetailleerde informatie verstrekt over de doelomgeving. Dit omvat de broncode van het doelwit, accounts, architectuur, en meer.

Pentest FAQ

Waarvoor is een pentest?

Pentests helpen bij het identificeren van elk probleem dat een cybercrimineel kan uitbuiten. Het belangrijkste voordeel van pentesting is dat het helpt om de beveiliging van het systeem te verbeteren door zwakke punten te identificeren.

Pentests zijn een manier om uw organisatie te voorzien van een externe blik op de beveiliging van uw applicaties en een hoger niveau van detail en focus te krijgen dan een interne kwetsbaarheidsbeoordeling zou bieden. Pentests zijn de beste manier om de beveiliging van een netwerk of applicatie te bepalen. Het zorgt ervoor dat het netwerk of de applicatie getest is op gebreken en kwetsbaarheden.

Wat kost een pentest?

De kosten van een pentest variëren en hangen af van de doelstellingen die u nastreeft: de te analyseren systemen en/of netwerken, de complexiteit van de test, en de gebruikte methodologie (black box, grey box of white box).

Warpnet benut geen ‘out-of-the-box’ benadering bij het uitvoeren van een pentest; alle opdrachten die wij uitvoeren zijn maatwerk, waardoor er geen standaardtarief is.

Hoe lang duurt een pentest?

Een Warpnet pentest duurt gemiddeld 4 dagen, hoewel de duur kan variëren op basis van de omvang en doelstellingen van de pentest.

De bijbehorende rapportage wordt standaard een week na het voltooien van de pentest aangeleverd.

Is een eenmalige pentest voldoende?

In het kort, nee.

Een pentest is namelijk altijd een momentopname. Zowel de aanvallen als de geteste infrastructuur of applicatie evolueren, zodat de resultaten van een test na verloop van tijd minder relevant worden.

Wie zou er een pentest moeten (laten) uitvoeren?

Idealiter iedereen. Cybercriminaliteit heeft zich zodanig uitgebreid dat zelfs kleine bedrijven zich niet meer te klein kunnen achten voor een aanval.

Zoals we hebben gezien bij recente grootschalige aanvallen, zoals de WannaCry ransomware-uitbraak, loopt iedereen risico.

Kan een pentest schade veroorzaken?

Nee. Onze pentest specialisten weten hoe ze veilig kunnen binnendringen in applicaties en netwerken, zonder werkelijke schade of verstoring te veroorzaken.

Bovendien hebben wij ijzersterke garanties, zodat alle gegevens waartoe wij toegang hebben, met het grootste vertrouwen en de grootste veiligheid worden behandeld.

Hoeveel van de test wordt automatisch uitgevoerd?

Een vraag die te weinig mensen stellen is hoeveel van het testen geautomatiseerd is versus handmatig.

Hoewel geautomatiseerde hulpmiddelen een korte stap in het begin van ons proces zijn, is een groot deel van onze tests handmatig. De hoeveelheid handmatig werk varieert per opdracht, maar ongeveer 95% van de pentest is hands-on.

Hoe ondersteunt een pentest compliance-doeleinden?

Pentests spelen een belangrijke rol in het helpen van organisaties om te voldoen aan vereisten op het gebied van compliance en regelgeving door kwetsbaarheden op proactieve wijze te detecteren zodat deze vervolgens verholpen kunnen worden.

Regelgevende kaders zoals de Algemene Verordening Gegevensbescherming (AVG), en diverse beveiligingsnormen zoals ISO 27001 schrijven voor dat organisaties robuuste beveiligingsmaatregelen implementeren om gevoelige gegevens te beschermen.

Pentests laten zien dat een organisatie zich inzet om een veilige omgeving te handhaven, waardoor het risico op inbreuken en de daaruit voortvloeiende boetes wordt verminderd.

Waar zijn de meeste kwetsbaarheden te vinden?

Er is geen eenduidig antwoord op deze vraag omdat kwetsbaarheden overal in de organisatie aanwezig kunnen zijn: hoofdwebsites, kernsystemen, systemen voor externe toegang, mobiele apps en beheersystemen. Het is waar dat veel “laaghangend fruit” kwetsbaarheden bestaan in over het hoofd geziene hoeken van een organisatie, een oude testomgeving bijvoorbeeld is geneigd om oude en verouderde frameworks te hebben.

Het maakt de aanvaller niet uit dat het systeem niet in gebruik of vergeten is, zolang hij het maar kan uitbuiten en er een toegangspunt tot het interne netwerk van de organisatie van kan maken.

Een organisatie moet zich altijd bewust zijn van haar zwakke plekken door regelmatig pentests uit te voeren op elk systeem en op het hele netwerk.

Wat gebeurt er nadat de pentest is uitgevoerd?

Om het herstelproces te vergemakkelijken, moeten pentests worden geëvalueerd om er zeker van te zijn dat ze bruikbare richtlijnen opleveren voor tastbare verbeteringen van de beveiliging.

Na elke opdracht moet de ethische hacker die aan de test wordt toegewezen een op maat gemaakt schriftelijk rapport opstellen, waarin de risico’s van de geïdentificeerde zwakke punten worden gedetailleerd en beoordeeld, en waarin aanbevelingen worden gedaan voor herstelmaatregelen.

Een leverancier kan ook een uitgebreide debriefing aanbieden na het indienen van het rapport.

Helpt Warpnet bij het oplossen van gevonden risico’s?

Het verhelpen van de vastgestelde kwetsbaarheden is vaak een complex proces vanwege de specialistische vaardigheden die hiervoor nodig zijn.

Als onderdeel van onze nazorgondersteuning bieden wij daarom hulp bij het herstellen van de vastgestelde kwetsbaarheden. Tijdens dit proces lichten wij uw team zonder extra kosten in over diverse Cybersecurity best practices.

Is het verstandig om de uitslag van een pentest te delen?

Het is geen goed idee om resultaten naar buiten uw organisatie te sturen; een pentest rapport bevat uiterst gevoelige informatie die zeer vertrouwelijk is en alleen beschikbaar mag worden gesteld aan vertrouwde interne bronnen op een “need-to-know” basis. Het delen van gedetailleerde rapporten met externe personen wordt niet aanbevolen.

Als het de rapportage eenmaal is gedeeld met een externe partij, is controle over de verspreiding ervan moeilijk te garanderen. Een pentest rapport kan een routekaart naar de kwetsbaarheden van een organisatie zijn en moet niet buiten de organisatie worden verspreid tenzij het absoluut noodzakelijk is.

Contact

Klaar om uw beveiliging onder de loep te nemen? We staan voor u klaar.

Tjardo Douwstra
Cybersecurity Adviseur