Wij zijn |
Wat is een attack surface pentest
Voor veel organisaties is ICT een integraal onderdeel van hun bedrijfsvoering geworden. De beveiliging van deze voorziening is van essentieel belang voor het voortbestaan van de organisatie. Maar door de toenemende digitalisering wordt het steeds moeilijker om een actueel en volledig overzicht te krijgen van uw digital footprint. Daardoor is het voor een beslisser vaak moeilijk om te bepalen waar de beveiliging verbeterd moet worden. Een Attack Surface pentest van pentests.nl biedt dit inzicht.
Een Attack Surface pentest wordt ook wel een digital footprint audit of een exposure onderzoek genoemd. Tijdens deze pentest worden uw digitale eigendommen (digital footprint) in kaart gebracht. Dit kunnen systemen zijn die via het internet te bereiken zijn, maar dit kunnen ook uitgelekte wachtwoorden van medewerkers zijn.
Volgens een schatting van Gartner zijn 30% van de datalekken te verwijten aan Shadow-IT. Dit zijn systemen en applicaties die niet in beeld zijn bij de IT-afdeling, en dus ook niet door hen beveiligd worden. Met de digitale transformatie zullen deze aantallen de komende jaren waarschijnlijk toenemen.
De Attack Surface pentest helpt bij het inzichtelijk maken van uw volledige digital footprint, dus ook uw shadow-IT. Hierdoor krijgt u een beter beeld bij uw potentiële aanvalsoppervlak en kunt u het risico van bijvoorbeeld shadow-IT verminderen.
Wat is een attack surface pentest
Hoe wordt de Attack Surface pentest uitgevoerd?
Een Attack Surface pentest verschilt van een reguliere pentest. Bij een Attack Surface pentest wordt niet geprobeerd om systemen te compromitteren. Er wordt wel zo veel mogelijk informatie over de testobjecten verzameld. Dit gebeurt onder andere via open-source intelligence (OSINT). Vervolgens wordt de verzamelde informatie geanalyseerd en gewaardeerd door de pentesters. Het voordeel van deze aanpak zonder compromittatie is dat het risico op verstoring van de bedrijfsactiviteiten minimaal is.
De Attack Surface van een organisatie kan opgedeeld worden in twee delen:
- Infrastructuur surface: gericht op alle beschikbare technische middelen. Hier kan gedacht worden aan computersystemen.
- Menselijke surface: gericht op alle gegevens die door mensen worden achtergelaten. Hier kan gedacht worden aan uitgelekte wachtwoorden van medewerkers.
Deze informatie kan op twee manieren gezocht worden:
- Passief: het onderzoek wordt verricht met zoekmachines zoals Google en Shodan. Daarnaast wordt er ook op het darkweb (het deel van het internet dat niet vindbaar is met normale zoekmachines) gezocht naar bijvoorbeeld uitgelekte wachtwoorden. Er wordt dus niet actief gecommuniceerd met het testobject.
- Actief: er wordt actief gecommuniceerd met het testobject. Voor een organisatie betekent dit dat er actief onderzoek wordt uitgevoerd naar de (sub)domeinnamen, webhosts, IP-adressen, open diensten op servers en gebruikte ontwikkelingstechnologieën van de organisatie.
Voordelen van een Attack Surface pentest
De digitale transformatie levert veel voordelen op, maar het wordt ook steeds moelijker om grip te krijgen en te houden op al deze informatie. Door het uitvoeren van een Attack Surface pentest krijgen organisaties een actueel en overzichtelijk totaalbeeld van alle systemen en diensten die via het internet te bereiken zijn. Door dit overzicht krijgen organisaties een beter beeld van hun digital footprint en eventuele aanvalsoppervlak.
Is het bijvoorbeeld wel de bedoeling dat er een RDP-poort openstaat of is deze een keer tijdens onderhoud opengezet en is deze per ongeluk niet meer dichtgezet? Of misschien is er sprake van shadow-IT en is er een systeem met gevoelige informatie uit het zicht geraakt van de ICT-afdeling.
Door een actueel en compleet overzicht te krijgen van uw IT kunt u snel en accuraat beslissingen nemen. U krijgt bijvoorbeeld inzicht in uw kwetsbare plekken en daar kunt u vervolgens verbeteringen treffen. Hierdoor kunt u hackers een stap voor blijven.
Hoe kunnen wij u helpen?
Server header verwijderen
Ontdek hoe je de Server-header in HTTP-responses beheert voor IIS, Nginx en Apache om je webserver veiliger te maken. Veiligheid is geen luxe, maar een noodzaak.
CVE-2023-28130 – Command injection in Check Point Gaia Portal
Pentests.nl has discovered a vulnerability in Check Point Gaia Portal which, as an authenticated user, could be exploited to execute commands on the operating system.
Certified Az Red Team Professional (CARTP) review
In this blog post, I share my personal journey and insights from undertaking the Certified Azure Red Team Professional (CARTP) certification offered by Altered Security (former Pentester Academy). The course is a mix of lectures, demos, exercises, and hands-on practice, with a strong focus on methodology and techniques rather than specific tools.