Penetratietesten (vaak “pentesting”, “pentest”, “netwerk penetration testing” of “security testing”) is een controle van één of meer computersystemen en applicaties op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in de systemen in te breken. Access42 doet dit op dezelfde manier als een hacker dit zou doen om zo de gaten in uw beveiliging te identificeren.
Ethische hackers kunnen organisaties helpen bij het inzichtelijk krijgen van potentiële risico’s door de identificatie van aanwezige kwetsbaarheden/zwakheden binnen een overeengekomen scope. Pentesting is een van de mogelijke vormen van een dergelijk assessment. Helaas worden er in de markt verschillende definities voor pentesten toegepast, wat als gevolg heeft dat pentesten door verschillende organisaties op verschillende manieren uitgevoerd kunnen worden.
Access42 ziet Vulnerability Assessment als een fundamenteel andere dienst dan een penetratietest, maar er is wel enige overlap waardoor verwarring snel kan ontstaan. Lees hier meer over de verschillen.
Waarom pentesten?
Penetratietesten zijn een cruciaal onderdeel van een effectieve cybersecuritystrategie. Access42 adviseert organisaties om regelmatig te pentesten te laten uitvoeren om de volgende redenen:
- Identificatie van kwetsbaarheden: Een pentest helpt bij het blootleggen van kwetsbaarheden in systemen, netwerken, (cloud) infrastructuren, applicaties en API’s voordat cybercriminelen deze kunnen misbruiken.
- Door kwetsbaarheden vroegtijdig te identificeren en te verhelpen, kunnen organisaties potentiële financiële verliezen door datalekken en systeemstoringen voorkomen.
- Hoewel sommige onderdelen geautomatiseerd kunnen zijn, wordt bij een pentest vertrouwd op de vaardigheden van ervaren, gecertificeerde ethische hackers die systemen analyseren zoals kwaadaardige hackers dat zouden doen, en zo kritieke zwakke punten blootleggen.
- Identificatie van gaten tussen bestaande security oplossingen: Cybercriminelen richten zich niet alleen op afzonderlijke beveiligingstools, maar ook op de gaten tussen deze tools. Een grondige pentest ontdekt deze kwetsbaarheden die vaak over het hoofd worden gezien.
- Evaluatie van de security posture: Een pentest biedt inzicht in de effectiviteit van de bestaande beveiligingsmaatregelen en helpt bij het identificeren van zwakke plekken in de algehele beveiligingsstrategie.
- Versterking van vertrouwen en reputatie: Door te laten zien dat organisaties proactief security tests uitvoeren, zullen hun klanten, partners en investeerders vertrouwen krijgen in de beveiligingsbeleid van de organisaties, wat hun reputatie versterkt.
- Voldoen aan regelgeving: Cybersecurity verzekeringen of regelgevingen vereisen regelmatige pentests om te voldoen aan beveiligingsnormen en om te bewijzen dat organisaties proactief hun kwetsbaarheden in kaart brengen en beheren.
- Realistische aanvalssimulaties: Penetratietests simuleren realistische aanvallen om aan te tonen hoe goed gevoelige gegevens, applicaties, systemen en medewerkers zouden presteren tijdens een daadwerkelijke cyberaanval. Hierdoor wordt inzicht verkregen in de impact van kwetsbaarheden. Door het simuleren van realistische aanvallen. Zo kunnen organisaties hun incidentrespons processen testen en verbeteren, wat leidt tot snellere detectie en passende, accurate reactie op daadwerkelijke aanvallen.
Soorten pentesten
- Black box; Access42 heeft minimale voorkennis van de infrastructuur of applicatie die getest moet worden;
- White box; Access42 krijgt voorafgaand aan de test inzicht in alle aspecten van de systeemarchitectuur, inclusief accounts met verschillende rollen;
- Grey box; Access42 krijgt vooraf gedeeltelijke informatie. Dat kan bijvoorbeeld een inlogaccount zijn om te testen of het voor gebruikers met een werkend account mogelijk is om misbruik te maken van de rechten bij een account. Bij black box komt de aanvaller wellicht niet langs het inlogscherm en heeft dan niet de gelegenheid of de tijd om ook dit soort aspecten nog te testen;
- Crystal box / Code review; Access42 krijgt vooraf de broncode van de applicatie en heeft toegang tot alle mogelijke configuratie-informatie;
- Time box (of budget box); Een test waarbij de doorlooptijd of de kosten bepalen wanneer de test ophoudt. Bijvoorbeeld: hoe ver kan een team ervaren pentesters in drie dagen komen?;
- Red Teaming; Access42 krijgt een vrijbrief en probeert via verschillende methodes binnen te komen, vaak met een vooraf met de klant afgesproken target.;
- Purple Team; In plaats van dat de aanvallers (red team) en verdedigers (blue team) als afzonderlijke teams werken, gaan we juist samenwerken. Informatie over gebruikerstechnieken, tools en methodes wordt gedeeld met het blue team om zo een betere verdediging te kunnen ontwikkelen.
"Het doel van een pentest is om inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem en om verbeteringen te definiëren voor de beveiliging -met andere woorden, de risico’s en kwetsbaarheden te bestrijden."
Access42 werkwijze penetratietesten
Gezamenlijk met de opdrachtgever definiëren we een of meerdere onderzoeksvragen. Daarnaast geven we ook aan op welke wijze we de test gaan uitvoeren (zie de soorten pentesten zoals hierboven beschreven). Wanneer de onderzoeksvragen en de scope bekend zijn, beschrijven we in een plan van aanpak hoe we het onderzoek gaan uitvoeren en welke fasen er zijn.
Tijdens het onderzoek maken we gebruik van onze eigen ontwikkelde CyberTIM framework. De bevindingen worden binnen het CyberTIM framework gerapporteerd. Dit zorgt voor het 4-ogen principe waarbij onze pentesters elkaar kunnen controleren, de classificatie eenduidig gedaan kan worden en unieke ID’s aan bevindingen gegeven kunnen worden. Is een bevinding eerder gedaan, dan wordt automatisch de juiste tekst ingevuld en kan een pentester deze aanvullen met opdrachtspecifieke informatie. Door samen te werken binnen één framework zijn we in staat om altijd dezelfde kwaliteit te leveren, continuïteit te bieden en kennis te delen binnen het team.
Verder maakt Access42 gebruik van partners, waardoor wij vroegtijdig toegang hebben tot informatie over (nieuwe) kwetsbaarheden, de status van eventuele PoC’s, nieuwe aanvalstechnieken en tooling. Daarnaast volgen we een groot scala aan nieuwssites waarop kwetsbaarheden worden gepubliceerd.
Na het afronden van het onderzoek volgt er een rapportage. Standaard wordt deze in het Engels opgeleverd. Er is de mogelijkheid om in plaats van Engels de rapportage in het Nederlands op te leveren. Dit wordt vooraf afgestemd met de opdrachtgever.
Access42 heeft goede kennis van en gedegen ervaring in het uitvoeren van penetratietesten. Aangezien een organisatie vaak niet over de noodzakelijke expertise en/of de tijd beschikt die nodig is om zelf een penetratietest uit te voeren, wordt dit vaak uitbesteedt. Access42 is hier de juiste partner voor!
Wat is het resultaat?
Na de uitvoer van de penetratietest leveren wij een rapport op met daarin de resultaten en bevindingen geclassificeerd op basis van de directe (technische) impact. Voor de classificatie van bevindingen wordt CVSSv3 (Common Vulnerability Scoring System) toegepast. Het rapport bestaat verder uit:
- Managementsamenvatting met de beantwoording van de onderzoeksvragen en een heldere uitleg van de relevante risico’s en eventuele gevolgen;
- Introductie en beschrijving van de opdracht en scope;
- Bevindingen die hebben bijgedragen aan de beantwoording van de onderzoeksvraag. Deze bevatten een omschrijving en classificatie met toelichting hiervan;
- Proof of Concept en een mogelijke oplossing;
- Aanbevelingen t.b.v. verbetering van het beveiligingsniveau.
Don't worry
We've got your back.
Benieuwd wat we voor u kunnen betekenen?
Bel ons op 088 000 2000 of klik hieronder voor meer contactmogelijkheden.