Wij zijn |
Penetratietest uitvoeren – alles wat u moet weten
We weten allemaal wel dat een goede digitale beveiliging uitermate belangrijk is binnen iedere organisatie. Bedrijven dienen zichzelf immers te beschermen tegen mogelijke cyberaanvallen. Maar hoe waarborgt u deze veiligheid nu eigenlijk? Hoe komt men erachter of de digitale omgevingen goed beveiligd zijn? Eén manier is het gebruik van penetratietesten. Wellicht een onbekend begrip? Wij vertellen u graag meer.
Wat is een penetratietest? Het is een test waarbij ethische hackers uw bedrijfsnetwerk op de proef stellen. Ze proberen op diverse manieren de kwetsbaarheid van uw digitale platformen te onderzoeken. Door de zwakke plekken in kaart te brengen en deze aan te pakken, maakt u uw bedrijf digitaal sterker.
Een penetratietest wordt doorgaans uitgevoerd op diverse systemen. Denk hierbij aan het bedrijfsnetwerk, webapplicaties, Wifi netwerken, et cetera. Wenst u meer inzicht te krijgen in de werking van een penetratietest, het nut van een dergelijke test en de diverse vormen die er bestaan? Dan is dit artikel voor u. Wij vertellen u namelijk alles wat u moet weten over het belang van de penetratietest voor uw bedrijf.
Wat is een penetratietest?
Een penetratietest, ook wel een pentest genoemd, brengt de kwetsbaarheden van de IT-omgeving van uw bedrijf in kaart. Door een penetratietest te laten uitvoeren komt een organisatie erachter welke zwakke plekken er zijn op het gebied van digitale beveiliging, maar ook hoe ze deze kunnen aanpakken. Met deze preventieve maatregel loopt uw organisatie in de toekomst dus minder risico’s.
Tijdens een penetratietest proberen ethische hackers onrechtmatig toegang te verkrijgen tot uw systemen. De hackers die worden ingezet zijn zeer ervaren en gebruiken dan ook diverse technieken om het doel te bereiken, net zoals echte cybercriminelen dit zouden aanpakken.
Na de penetratietest worden alle bevindingen netjes vastgelegd in een uitgebreid rapport. Hiermee worden de kwetsbaarheden, en dus de gevaren in beeld gebracht. Ook wordt er een advies gegeven om deze zwakke plekken zo goed mogelijk te verhelpen.
Om deze test te kunnen uitvoeren moet altijd schriftelijk toestemming worden gegeven door de eigenaren van de systemen. Anders zou er immers sprake zijn van computervredebreuk. Een strafbaar feit waar natuurlijk absoluut geen sprake van is bij het inzetten van een penetratietest. Door de toestemming van eigenaar vast te leggen, wordt iedereen beschermd.
Hoe gaat een penetratietest in zijn werk?
Zoals reeds benoemd gebruiken de ethische hackers diverse manieren en automatische tools om inbreuk te doen op uw systemen. De veiligheid dient immers op alle vlakken getest te worden. Maar hoe gaat zo een penetratietest nu eigenlijk in zijn werk? Waar beginnen ze, en welke stappen worden er doorlopen? Onderstaand bespreken we de werkwijze beknopt.
Intakegesprek
Een penetratietest begint altijd met een intakegesprek. Dit is een gesprek tussen één van de testers en de opdrachtgever. Deze kennismaking omvat diverse aspecten. Zo wordt er onder andere overlegd over de scope van de test, de methode die het meest passend is voor uw organisatie en het tijdsbestek waarin de test plaats zal moeten vinden. Op basis hiervan wordt een offerte opgesteld.
Indien opdrachtgever akkoord geeft op de offerte, kan de penetratietest van start gaan. De eerste stap hierin is het inventariseren van gegevens. Er moet immers worden vastgesteld welke systemen gebruikt worden en welke informatie relevant is voor de penetratietest.
Inventarisatie
In de eerste fase van een penetratietest wordt er gekeken naar alle relevante informatie, hetzij vanuit opdrachtgever of uit beschikbare openbare bronnen. Daarnaast worden ook de systemen in kaart gebracht, en de verdere invulling van de digitale omgeving wordt geïnventariseerd. De experts zullen beoordelen welke informatie relevant is voor de penetratietest.
Pas wanneer de ethische hacker een duidelijk beeld heeft van de gehele IT-omgeving kan men over gaan tot het vaststellen en klaarmaken van een aanvalsmethodiek.
Plan van aanpak
Nadat alle relevante informatie in kaart is gebracht, kan er gekeken worden naar de aanvalsmethodiek. Welke methodes kunnen gebruikt worden om een zo volledig mogelijk beeld te krijgen van het systeem?
Welke bedreigingen liggen op de loer, en op welke manier kan men hierop inspelen? Al deze zaken worden nauwkeurig overdacht en uitgewerkt. Pas wanneer het plan van aanpak compleet is, gaan de ethische hackers van start met de aanval.
Het simuleren van een cyberaanval
Doorgaans begint de uitvoer van een penetratietest met het inzetten van diverse tools. Er wordt volledig automatisch gezocht naar eventuele kwetsbaarheden in uw systeem. Maar ook de pentester zelf zit natuurlijk niet stil. Deze doet op zijn beurt handmatige zoekacties naar kwetsbaarheden in het systeem.
Vervolgens probeert de ethische hackers daadwerkelijk toegang te verkrijgen tot de digitale omgeving van uw bedrijf. Tijdens dit proces zal blijken of de eerder vastgestelde kwetsbaarheden ook daadwerkelijk bevestigd kunnen worden.
Samenvattend rapport
Alle bevindingen die de ethische hackers heeft gedaan, worden genoteerd in een uitgebreid rapport. Dit is immers waarop de opdrachtgever zijn verdere vervolgstappen kan baseren. In het rapport worden de bevindingen genoteerd, en ook worden de kwetsbaarheden in diverse classificaties verdeeld. Ook de mogelijke impact van de kwetsbaarheden worden hierin opgenomen.
Tot slot mag in het rapport natuurlijk geen oplossing ontbreken. De aanbevolen oplossingen voor de vastgestelde kwetsbaarheden maken uiteraard ook onderdeel uit van het eindrapport. U moet als bedrijf immers aan de slag kunnen met datgene wat is geconcludeerd.
Eventueel een hertest
Zijn de kwetsbaarheden in uw digitale omgeving opgelost, hetzij door uw bedrijf zelf of een externe partij? Dan is een tweede penetratietest uitvoeren geen slecht plan, het is zelfs een logische vervolgstap. U wenst immers te weten of de aanpassingen die zijn gedaan daadwerkelijk geholpen hebben, en resulteren in een betere beveiliging van uw IT-omgeving.
Voor een onpartijdig en kritisch oordeel van de aanpassingen kunt u dus het beste kiezen voor een tweede test, dit wordt ook wel een pentest re-audit genoemd.
Waarom penetratietest uitvoeren?
Wellicht vraagt u zich af waarom penetratietest uitgevoerd moeten worden. Misschien is er naar uw mening helemaal geen reden tot argwaan of geen vermoeden dat de IT-omgeving gevaar loopt. Waarom dan toch een penetratietest uitvoeren? Een begrijpelijk vraag. Echter zijn er diverse redenen waarom penetratietesten van groot belang zijn.
Naast het feit dat u als organisatie een goede naam wilt behouden en dus een veilige IT-omgeving wenst waarin ieders gegevens veilig zijn, is het ook wettelijk verplicht om persoonsgegevens te beschermen tegen mogelijk uitlekken en misbruik.
Gevoelige informatie moet dus achter slot en grendel zitten, waar het veilig is en beschermt tegen cybercriminelen. Door gebruik te maken van een penetratietest, kunnen de risico’s in kaart gebracht worden en tilt u de beveiliging van uw bedrijf naar een hoger niveau.
Is de digitale omgeving van uw bedrijf al veilig, en goed bestand tegen het binnendringen van mogelijke hackers? Om erachter te komen is het dus aan te raden om een penetratietest te laten uitvoeren. Er zijn diverse vormen tests. Onderstaand bespreken we enkele varianten.
Welke testvormen zijn er?
We onderscheiden diverse type penetratietesten, ieder met zijn eigen unieke eigenschappen. De verschillende soorten die aan bod kunnen komen zijn de Black Box, Grey Box en White Box. Het gaat om verschillende mogelijke aanval scenario’s, waarin diverse hoeveelheden informatie beschikbaar worden gesteld. Onderstaand bespreken we deze drie vormen pentesten.
Black box test
De eerst test die we nader uiteen willen zetten is de Black Box test. Bij deze test wordt de ethische hacker niet voorzien van informatie. De opdrachtgever verstrekt geen enkele bron van informatie. Op deze manier wordt een cyberaanval van buitenaf zo goed mogelijk nagebootst.
De pentester zal de omgeving en kwetsbaarheden in kaart brengen op basis van openbare bronnen. Aangezien er geen sprake is van voorkennis vanuit de opdrachtgever, is dit doorgaans de minst grondige test.
Grey Box test
De tweede mogelijke test is de Grey Box test. In tegenstelling tot de Black Box, wordt er bij de Grey Box test wel informatie verstrekt door de opdrachtgever. Een beperkte mate van informatie weliswaar. Denk hierbij aan inloggegevens van klanten of medewerkers.
Op deze manier kan dus ook gekeken worden vanuit gebruikersperspectief. Er wordt dus vanuit diverse invalshoeken getest. Dit biedt een breed inzicht in de weerbaarheid van uw organisatie.
We willen er liever niet aan denken maar we moeten niet vergeten dat er ook kwaadwillige medewerkers bestaan, die gevoelige data kunnen prijsgeven zonder dat hier toestemming voor is gegeven. De Grey Box test kan helpen om de risico’s op dit gebied te beperken.
White box test
De laatste test die we willen benoemen is de White Box test. In deze laatste variant wordt nog meer informatie beschikbaar gesteld aan de ethische hacker. Met deze uitgebreide informatie kan er heel gericht worden gezocht naar kwetsbaarheden binnen de digitale omgeving.
De White Box test is een zeer grondige penetratietest. Ook complexe gebreken en kwetsbaarheden die op het eerste oog niet zichtbaar zijn, kunnen gevonden worden met deze uitgebreide test.
De White Box wordt ook wel de Glass Box genoemd. Namelijk omdat deze zeer transparant is. De opdrachtgever verstrekt immers veel informatie aan de pentester in kwestie.
Welke testmethodieken zijn er?
Zoals reeds benoemd worden er tijdens een penetratietest gebruikgemaakt van diverse testmethoden. De informatiebeveiliging dient immers optimaal te zijn. Uit het intakegesprek met de opdrachtgever is reeds gebleken welke diverse aspecten getest moeten worden voor toegang tot gevoelige informatie. Denk hierbij aan het bedrijfsnetwerk, uw webapplicatie of Wifi netwerken.
Bovengenoemde IT-systemen zijn helaas voor hackers een prooi, via welke weg zij zouden kunnen inbreken op uw netwerk. Daarom zijn verschillende testmethoden op diverse systemen van groot belang. Onderstaand bespreken we enkele van deze aspecten in het kort.
Webapplicatie
Applicaties, websites of portals van uw organisatie kunnen ten prooi vallen aan hackers. Het zijn toegangspoorten tot gevoelige data, die natuurlijk kosten wat het kost goed beveiligd moeten zijn. Daarom richt een penetratietest zich ook op deze onderdelen van uw organisatie. De kwetsbaarheden in de webapplicatie kunnen immers waardevolle inzichten verschaffen, en ervoor zorgen dat u de beveiliging van uw bedrijf kan optimaliseren.
Wifi netwerk
Het wifi netwerk van uw bedrijf is eenvoudig op te vangen, ook voor personen buiten de organisatie. Dit maakt dat het ook voor hackers een relatief eenvoudige manier is om op afstand te kunnen inbreken op uw netwerk. Ook uw Wifi netwerk moet dus zeker aan de tand gevoeld worden door de professionele ethische hacker.
Bedrijfsnetwerk
We weten helaas allemaal dat cybercriminelen dagelijks actief bezig zijn, en hun uiterste best doen om de interne bedrijfsnetwerken van organisaties binnen te dringen. Waar we vaak niet bij stilstaan is dat er helaas ook sprake kan zijn van medewerkers of gasten binnen de organisatie die kwade bedoelingen hebben. Aangezien uw medewerkers ruimere toegang hebben tot uw bedrijfsnetwerk schuilt het gevaar dat zij belangrijke data kunnen doorspelen of blootleggen, iets wat u natuurlijk kosten wat het kost wenst te voorkomen.
Juist daarom worden ook Grey Box en White Box penetratietesten uitgevoerd. Hierbij beschikken de ethische hackers over dermate voldoende informatie, dat zij als het ware in de huid van een medewerker of klant kunnen kruipen.
Mobiele apps & IoT
Mobiele apps en IoT devices verwerken in veel gevallen gevoelige informatie. Daarnaast komt nog dat beide doorgaans in verbinding staan met veel andere (web)services en API’s. Deze koppelingen dienen dan ook goed onderzocht te worden door de pentesters. U wilt immers voorkomen dat een kwaadwillige hacker middels deze weg toegang krijgt tot uw vertrouwelijke data.
Voordelen penetratietest voor uw bedrijf
Twijfelt u nog of een penetratietest uitvoeren ook voor uw bedrijf zijn vruchten af zal werpen? Wij kunnen u vertellen dat dit absoluut het geval is. Een penetratietest uitvoeren is nuttig voor iedere organisatie. Want wie wil er nu niet de beste beveiliging binnen zijn digitale omgeving?
De tijden zijn door de jaren heen helaas veranderd. Gerichte cyberaanvallen kunnen verstrekkende gevolgen hebben voor uw bedrijf. De kans dat uw bedrijfsnetwerk wordt gehackt is tegenwoordig dan ook zeer reëel aanwezig. Maar dit laat u natuurlijk niet gebeuren, en dat hoeft ook niet. Door een penetratietest uit te voeren binnen uw organisatie, krijgen cybercriminelen ineens een stuk minder kans om binnen te dringen.
Aangezien de meeste organisaties en grote bedrijven tegenwoordig gebruikmaken van diverse digitale kanalen, is een uitgebreide penetratietest nog belangrijker geworden. Al deze kanalen dienen immers goed onderzocht te worden op kwetsbaarheden, zodat cybercriminelen of kwaadwillige hackers geen enkele kans krijgen!
Hoe kunnen wij u helpen?
Responder: toegang krijgen tot een netwerk
Een van de allereerste stappen die we ondernemen tijdens een bedrijfsnetwerk pentest is het aanzetten van de tool Responder. Dit is een tool die luistert en antwoordt op broadcast verkeer binnen het subnet, met als doel het verkrijgen van NTLM hashes van gebruikers.
Content Security Policy (CSP): Maak je website veiliger
In deze blogpost lees je het hoe en waarom van de Content Security Policy (CSP). Met deze HTTP security header kan je de webbrowser van gebruikers fijnmazige instructies geven die bescherming bieden tegen hackaanvallen.
Stored XSS in BigBlueButton
Pentests.nl has discovered a vulnerability in BigBlueButton (version 2.4.7 and prior) which could be exploited to perform stored Cross-Site Scripting (XSS) attacks by sending private messages to users.