Wij zijn |

Wat is een attack surface pentest

icon van een Attack Surface pentest

Voor veel organisaties is ICT een integraal onderdeel van hun bedrijfsvoering geworden. De beveiliging van deze voorziening is van essentieel belang voor het voortbestaan van de organisatie. Maar door de toenemende digitalisering wordt het steeds moeilijker om een actueel en volledig overzicht te krijgen van uw digital footprint. Daardoor is het voor een beslisser vaak moeilijk om te bepalen waar de beveiliging verbeterd moet worden. Een Attack Surface pentest van pentests.nl biedt dit inzicht.

Een Attack Surface pentest wordt ook wel een digital footprint audit of een exposure onderzoek genoemd. Tijdens deze pentest worden uw digitale eigendommen (digital footprint) in kaart gebracht. Dit kunnen systemen zijn die via het internet te bereiken zijn, maar dit kunnen ook uitgelekte wachtwoorden van medewerkers zijn.

Volgens een schatting van Gartner zijn 30% van de datalekken te verwijten aan Shadow-IT. Dit zijn systemen en applicaties die niet in beeld zijn bij de IT-afdeling, en dus ook niet door hen beveiligd worden. Met de digitale transformatie zullen deze aantallen de komende jaren waarschijnlijk toenemen.

De Attack Surface pentest helpt bij het inzichtelijk maken van uw volledige digital footprint, dus ook uw shadow-IT. Hierdoor krijgt u een beter beeld bij uw potentiële aanvalsoppervlak en kunt u het risico van bijvoorbeeld shadow-IT verminderen.

Hoe wordt de Attack Surface pentest uitgevoerd?

Een Attack Surface pentest verschilt van een reguliere pentest. Bij een Attack Surface pentest wordt niet geprobeerd om systemen te compromitteren. Er wordt wel zo veel mogelijk informatie over de testobjecten verzameld. Dit gebeurt onder andere via open-source intelligence (OSINT). Vervolgens wordt de verzamelde informatie geanalyseerd en gewaardeerd door de pentesters. Het voordeel van deze aanpak zonder compromittatie is dat het risico op verstoring van de bedrijfsactiviteiten minimaal is.

De Attack Surface van een organisatie kan opgedeeld worden in twee delen:

  • Infrastructuur surface: gericht op alle beschikbare technische middelen. Hier kan gedacht worden aan computersystemen.
  • Menselijke surface: gericht op alle gegevens die door mensen worden achtergelaten. Hier kan gedacht worden aan uitgelekte wachtwoorden van medewerkers.

Deze informatie kan op twee manieren gezocht worden:

  • Passief: het onderzoek wordt verricht met zoekmachines zoals Google en Shodan. Daarnaast wordt er ook op het darkweb (het deel van het internet dat niet vindbaar is met normale zoekmachines) gezocht naar bijvoorbeeld uitgelekte wachtwoorden. Er wordt dus niet actief gecommuniceerd met het testobject.
  • Actief: er wordt actief gecommuniceerd met het testobject. Voor een organisatie betekent dit dat er actief onderzoek wordt uitgevoerd naar de (sub)domeinnamen, webhosts, IP-adressen, open diensten op servers en gebruikte ontwikkelingstechnologieën van de organisatie.
Icon van een Attack Surface pentest groot

Voordelen van een Attack Surface pentest

De digitale transformatie levert veel voordelen op, maar het wordt ook steeds moelijker om grip te krijgen en te houden op al deze informatie. Door het uitvoeren van een Attack Surface pentest krijgen organisaties een actueel en overzichtelijk totaalbeeld van alle systemen en diensten die via het internet te bereiken zijn. Door dit overzicht krijgen organisaties een beter beeld van hun digital footprint en eventuele aanvalsoppervlak.

Is het bijvoorbeeld wel de bedoeling dat er een RDP-poort openstaat of is deze een keer tijdens onderhoud opengezet en is deze per ongeluk niet meer dichtgezet? Of misschien is er sprake van shadow-IT en is er een systeem met gevoelige informatie uit het zicht geraakt van de ICT-afdeling.

Door een actueel en compleet overzicht te krijgen van uw IT kunt u snel en accuraat beslissingen nemen. U krijgt bijvoorbeeld inzicht in uw kwetsbare plekken en daar kunt u vervolgens verbeteringen treffen. Hierdoor kunt u hackers een stap voor blijven.

Hoe kunnen wij u helpen?

Stored XSS in BigBlueButton

Pentests.nl has discovered a vulnerability in BigBlueButton (version 2.4.7 and prior) which could be exploited to perform stored Cross-Site Scripting (XSS) attacks by sending private messages to users.

read more

Win een phishing simulatie

Pentests.nl bestaat vandaag precies 100 dagen en wie jarig is trakteert. Daarom geven we drie gratis phishing simulaties weg! Laat een bericht achter via LinkedIn of onze contactpagina, dan ontvangt u van ons een lotnummer. Volgende week dinsdag zullen we de winnende lotnummers bekendmaken.

read more

ZIP-wachtwoord Conti locker kraken

In deze blogpost laten we zien hoe we in staat zjin geweest om de broncode van de Conti locker te bemachtigen door een plaintext-based attack op het ZIP-bestand uit te voeren. Dit laat het gevaar van het gebruik van ZIP-bestanden met een wachtwoord ter beveiliging van gevoelige informatie zien.

read more