Wij zijn |

Wat is een pentest

Een pentest (kort voor penetratietest) is een onderzoek waarbij ethische hackers zwakke plekken in de beveiliging van een computersysteem of netwerk identificeren. Pentesten wordt ook wel ethisch hacken en white hat hacken genoemd. Een pentest hoeft zich niet te beperken tot de beveiliging van één systeem (zoals een webapplicatie), maar kan ook over de beveiliging van alle achterliggende infrastructuur gaan. Aan de hand van de resultaten wordt een advies uitgebracht met gerichte maatregelen om de geïdentificeerde kwetsbaarheden zo goed mogelijk te verhelpen.

Waarom een pentest uitvoeren?

Door middel van penetratietests kunnen bedrijven de algehele beveiliging van hun IT-infrastructuur vaststellen. Een bedrijf kan op één gebied over robuuste beveiligingsprotocollen beschikken, maar op een ander gebied tekortschieten. De kosten van een succesvolle cyberaanval zijn zo hoog dat een bedrijf niet moet wachten tot een echte aanval zich heeft voltrokken. Het gebruik van pentests om gaten in de beveiliging van een bedrijf bloot te leggen, stelt organisaties in staat om eventuele tekortkomingen aan het licht te brengen voordat ze door kwaadwillende hackers misbruikt worden.

Welke vormen zijn er?

Pentests zijn er in veel verschillende vormen en maten. De beschikbaar gestelde informatie bepaalt vaak de aanpak van de tester, evenals de scope van het testproject. Er kan bijvoorbeeld van de tester worden verlangd dat het netwerk zelf in kaart moet worden gebracht, maar deze informatie kan op voorhand gegeven worden. Er zijn drie verschillende vormen pentests:

Icon verschil tussen een externe en interne pentest

Blackbox penetratietest

Icon van een blackbox penetratietest
Tijdens een black box penetratietest (ook bekend als blackbox-pentest) krijgt de pentester weinig tot geen informatie over het testobject. Het belangrijkste voordeel van deze testmethode is dat er een realistisch scenario voor een cyberaanval wordt nagebootst. De pentester neemt hier de rol aan van een ongeïnformeerde aanvaller, en zal dus alle aanvalspaden bewandelen die een kwaadwillende hacker ook zou bewandelen. Het weinig delen van informatie is daarbij ook direct het grootste nadeel. De pentester is niet bekend met de functionaliteiten en weet niet of alle (belangrijke) onderdelen wel zijn aangeraakt. Het is dus mogelijk een onvolledig beeld van het digitale beveiligingsniveau van de organisatie.

Graybox penetratietest

Icon van een greybox penetratietest
Tijdens een gray box penetratietest (ook bekend als greybox-pentest) heeft de pentester gedeeltelijke kennis van, of toegang tot een intern netwerk of (web)applicatie. Een pentester krijgt bijvoorbeeld inloggegevens en netwerktoegang voor een intern netwerk of (web)applicatie. Een groot voordeel van een gray box pentest is dat er efficiënt gewerkt kan worden. Tijd hoeft niet besteed te worden aan het in kaart brengen van een netwerk, maar aan het bestuderen van de globale netwerkdiagrammen, om de belangrijkste risicogebieden te identificeren. Het beeld van het digitale beveiligingsniveau dat hier geschetst wordt is een stuk vollediger, de pentesters zijn immers bekend met de belangrijkste systemen en functionaliteiten.

Whitebox penetratietest

Icon van een whitebox penetratietest
Bij een white box penetratietest (ook wel crystal box genoemd) krijgt de pentester alle informatie over een systeem of (web)applicatie, zoals toegang tot de broncode. Het doel van een white box pentest is om een diepgaande beveiligingstest uit te voeren van het testsubject. Dit gebeurt door de pentester vooraf zoveel mogelijk details te verstrekken. Als gevolg hiervan zijn de tests grondiger omdat de pentester toegang heeft tot gebieden waar een blackbox pentest bijvoorbeeld geen toegang tot heeft. Hier kan gedacht worden aan de kwaliteit van de code en het ontwerp van de applicatie.

Wat kan er allemaal getest worden?

Een pentest kan worden uitgevoerd op alle soorten IT-systemen en netwerken waarbij beveiliging van belang is. Tijdens het intakegesprek voorafgaand aan de pentest bepalen we samen de exacte scope van het onderzoek en welke aanvalsmethode we gaan hanteren tijdens de pentest. Onderstaand worden vijf soorten penetratietests verder toegelicht:

Bedrijfsnetwerk pentest

Icon van een bedrijfsnetwerk pentest
Een penetratietest op het bedrijfsnetwerk biedt een complete oplossing voor het effectief testen van uw IT-netwerkinfrastructuur en zorgt ervoor dat uw organisatie werkelijk beveiligd is tegen een breed scala aan cyberdreigingen. Deze pentest wordt vaak gestart via het publieke internet, dit wordt ook wel een externe pentest genoemd. Bij deze vorm van pentesten wordt gekeken naar uw publiek toegankelijke informatie of uw extern gerichte informatiebronnen. De pentester probeert kwetsbaarheden te misbruiken die gevonden zijn tijdens het analyseren van de publiekelijk verkregen informatie van uw organisatie, of er wordt geprobeerd om toegang te krijgen tot gegevens via externe bedrijfsmiddelen, zoals e-mails, cloudgebaseerde toepassingen en websites. Daarnaast gaan pentesters ook op zoek naar kwetsbaarheden op het interne bedrijfsnetwerk, dit wordt vaak een interne pentest genoemd. Hierbij kruipt een pentester in de huid van een kwaadwillende insider, zoals een werknemer met kwade bedoelingen of een hacker die middels phishing een systeem van een medewerker heeft weten binnen te dringen.

Webapplicatie pentest

Icon van een webapplicatie pentest
Een webapplicatie of website is de front-office van uw organisatie, en wordt vaak gebruikt als toegangspoort voor uw gevoelige informatie. Tijdens een webapplicatie penetratietest wordt de weerbaarheid van uw applicaties en websites op de naleving van de beveiliging onderzocht. Tijdens de test wordt er gebruik gemaakt van zowel handmatige technieken, als diverse geautomatiseerde checks. 

Mobiele applicaties pentest

Icon van een Mobiele app pentest
Mobiele applicaties zijn vaak een bron van gevoelige informatie, zoals persoonsgegevens, GPS-locatie en betaalverwerkingsgegevens. Als een mobiele applicatie niet goed is beveiligd, kunnen hackers toegang krijgen tot de gevoelige informatie, en/of de applicatie gebruiken om kwaadaardige acties uit te voeren namens de gebruiker. Daarnaast zijn deze apps vaak op verschillende manieren gekoppeld aan onderliggende (web)applicaties. Bij de mobiele app penetratietest gebruiken wij de OWASP Mobile Security Testing Guide (MSTG) als leidraad.

Wifi pentest

Icon van WiFi pentest
Een draadloze penetratietest simuleert een aanvaller die ongeautoriseerde toegang probeert te krijgen tot het wifi-netwerk van uw bedrijf. Dit kan inhouden dat een aanvaller misbruik maakt van een kwetsbaarheid in het wifi-beveiligingssysteem. Daarnaast kan het doel van de wifi penetratietest ook het testen van de scheiding tussen het gastennetwerk en het bedrijfsnetwerk zijn. De Wi-Fi pentest wordt over het algemeen uitgevoerd op locatie bij de klant, aangezien de pentester binnen het bereik van het draadloze signaal moet zijn om het te kunnen testen.

Attack Surface pentest

Icon van een Attack Surface pentest
Cyberbeveiliging is een integrale voorziening geworden voor het functioneren en voortbestaan van bedrijven. Door de toenemende afhankelijkheid van cloudtoepassingen en IoT-voorzieningen wordt het steeds uitdagender om een volledig en actueel beeld te krijgen van uw steeds groter wordende aanvalsoppervlak. Dit wordt ook wel uw digital footprint genoemd. Het doel van de Attack Surface pentest is het in kaart brengen van al uw digitale eigendommen die via het internet te benaderen zijn. Heeft u bijvoorbeeld shadow IT die niet voorzien is van de laatste beveiligingsupdates? Of heeft u oude DNS-records waarin verwijzingen staan naar systemen die niet meer in uw beheer zijn? De resultaten van dit onderzoek worden in een overzichtelijk rapport verwerkt zodat u meer inzicht krijgt in uw Attack Surface. Daarnaast worden er in het rapport adviezen gegeven hoe u uw Attack Surface kunt verkleinen om zo de aanvalsmogelijkheden voor kwaadwillende hackers te verkleinen.

Hoe kunnen wij u helpen?

QR Codes: Het onverwachte wapen in Device Code Phishing

Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.

read more

CORS: het belang van Cross-Origin Resource Sharing

Bij onze klanten zien we een toenemende implementatie van Cross-Origin Resource Sharing (CORS). Helaas constateren we ook een stijging in het aantal onveilig geconfigureerde CORS-implementaties. In deze blog duiken we dieper in wat CORS is, de meest voorkomende misconfiguraties en hun potentiële risico’s, en hoe je sterke CORS-regels kunt instellen om je webapplicaties te beschermen.

read more