Pentest

Dagelijks worden er binnen het IT systeem van jouw bedrijf enorm veel gegevens uitgewisseld. Tussen gebruikers binnen het bedrijf, maar ook met klanten buiten het bedrijf. Je hebt verschillende maatregelen genomen om te zorgen dat het zo veilig mogelijk gebeurt en vertrouwt op de veiligheid van jouw bedrijfsgegevens. Maar weet je zeker dat de veiligheidsmaatregelen genoeg zijn en cybercriminelen nergens binnen kunnen? Je wilt ze natuurlijk wel een stap voor blijven. Dat is waar de pentest van pas komt!

Wat is een pentest?

Een pentest, of een penetratietest voluit, is een test waarbij ethische hackers het IT systeem van jouw bedrijf onderzoeken alsof ze cybercriminelen zijn die een weg naar binnen zoeken. Binnen de afgesproken kaders proberen zij toegang te krijgen tot de beveiligde gegevens binnen het IT systeem. Zo worden zwakke plekken en risico’s blootgelegd. De pentest biedt je een duidelijk inzicht in de punten waar er ruimte is voor verbetering. Naar aanleiding van de test kijken we naar vervolgstappen om je digitale veiligheid te verbeteren waar nodig.
Testing

De verschillende soorten pentest

Afhankelijk van het doel en de scope maken we onderscheid in een White, een Grey en een Black box test.

Grey box test

Bij een grey box Pentest wordt er enige informatie beschikbaar gesteld. Bijvoorbeeld de inloggegevens van een medewerker of klant om te controleren of zij onbevoegde toegang kunnen krijgen tot gegevens. De pentester kruipt bij deze techniek in de huid van een geïnformeerde hacker of kwaadwillende insider die al een zekere toegang heeft tot het systeem of de applicatie alvorens hij de aanval start. Er wordt dus getest vanuit het gebruikersperspectief.

White box test

Bij een zogenaamde white box Pentest wordt er vooraf volledige openheid van zaken gegeven. Netwerkdiagrammen en broncode mogen ingezien worden door de ethische hackers. Daardoor kunnen zij de pentest zeer grondig uitvoeren. Met deze methode kunnen complexere en goed verborgen kwetsbaarheden gevonden worden.

Black box test

Bij een black box Pentest krijgt de ethische hacker vooraf geen enkele informatie, net zoals in het echt. Zo kan de pentester echt in de huid kruipen van een opportunistische, niet-geïnformeerde hacker. Aangezien de pentester geen voorinformatie heeft, maar wel gelimiteerd is door tijd en budget, is deze testvariant doorgaans de minst grondige. De test wordt dan ook vaak gebruikt bij het controleren van de algemene veiligheid van een applicatie, netwerk of systeem.
methodes

De verschillende testmethoden van een pentest

Onze penetratie-testen worden uitgevoerd volgens een combinatie van methodieken; OWASP, NCSC, NIST en OSSTMM.
All closed

This will close all the accordions

OWASP
De ‘Open Web Application Security Project’, beter bekend als OWASP, is een non-profitorganisatie die zich inzet voor het verbeteren van software veiligheid. Dit doen ze door, samen met hun honderden afdelingen verspreid over de hele wereld, na te denken over hoe de IT-industrie de veiligheid van hun software kan waarborgen. Hiervoor brengen ze tools uit, geven ze conferenties en stellen ze controlelijsten op die ontwikkelaars kunnen raadplegen tijdens hun dagelijkse werkzaamheden.
NCSC
Wij zijn het Nationaal Cyber Security Centrum (NCSC). Als expert werken wij aan een digitaal veilig Nederland. De digitale infrastructuur is van levensbelang: voor het betalingsverkeer, schoon water uit de kraan en om de voeten droog te houden. Het NCSC is onderdeel van het ministerie van Justitie en Veiligheid. Corine Schipper – Derkse is waarnemend directeur van het NCSC.
NIST
Het National Institute of Standards and Technology is een wetenschappelijke instelling die onder de Amerikaanse federale overheid valt. Het NIST zet zich in voor standaardisatie in de wetenschap, zoals het definiëren van eenheden.
OSSTMM
De Open Source Security Testing Methodology Manual, of OSSTMM, is een methodologie voor het uitvoeren van security tests. Het belangrijkste doel van de OSSTMM is om het beveiligingsniveau van een organisatie op operationeel niveau nauwkeurig te meten zónder gebruik te maken van aannames of anekdotisch bewijs.
Aan de slag met Cybersecurity

Bereik een zero-incident rate

Het cybersecurity gevaar ligt altijd op de loer en cybercriminelen zoeken net zolang tot ze een ingang hebben gevonden. Met onze cybersecurity pakketten weet je zeker dat jouw bedrijfsgegevens veilig zijn en werk je aan jouw zero-incident rate. Heb je nog vragen? Neem dan contact op met onze security adviseurs via het formulier, of bel ze direct.  

    Hoe kunnen we je helpen?