Een groot deel van de aanvallen op bedrijven begint bij gehackte computers of accounts van medewerkers die zich in de vertrouwde kantooromgeving bevinden. Soms installeert een medewerker per ongeluk iets of wordt zijn of haar account gecompromitteerd. Daarnaast kan het zijn dat de servers op locatie worden aangevallen. Om te testen wat er kan gebeuren als dit scenario zich voordoet, is het nodig om een computer binnen het netwerk te plaatsen. Voorheen kwamen de ethisch hackers van NFIR hiervoor fysiek naar uw kantoorlocatie, tegenwoordig wordt dit op afstand gedaan met een pentestbox.
Wat is de pentestbox?
De pentestbox is een computer ter grootte van een kleine broodtrommel die NFIR per pakketpost opstuurt. De box bevat veelgebruikte tools die ook door kwaadaardige hackers in de praktijk gebruikt worden. Deze computer wordt door uw beheerder in het netwerk geplaatst. Vervolgens loggen de ethisch hackers van NFIR hier in. Dit doen zij volledig op afstand. Deze mobiele werkwijze maakt een grey box infrastructuur pentest veel effectiever. Er is geen of minder reistijd, er hoeft geen ruimte beschikbaar gesteld te worden en ook hoeft er niemand aanwezig te blijven op locatie om de ethisch hackers te ontvangen en te begeleiden. Voor de fysieke aspecten van een grey box infrastructuur pentest, zoals het testen van uw Wifi, printers of pasjessysteem, komen de ethisch hackers natuurlijk wél ter plekke. Vaak is dit een bezoek van één of enkele dagen.
Is het veilig om de pentestbox in een netwerk te plaatsen?
Het uitgangspunt van iedere pentest is dat de ethische hackers altijd proberen om zo min mogelijk impact te hebben op de te testen omgeving. Dat principe geldt ook voor het gebruik van de pentestbox. Deze wordt zo ingericht dat het gebruik veilig is. De pentestbox bevat een installatie van Ubuntu 22.04 LTS Server, welke geconfigureerd en up-to-date gehouden wordt door middel van Ansible. Zowel Ubuntu als Ansible zijn gerespecteerde tools in de industrie. Om verbinding te maken met uw netwerk maakt de pentestbox verbinding met een Wireguard VPN van NFIR. Alleen pentestboxes en de ethisch hackers van NFIR hebben toegang tot deze VPN. Andere kantoormedewerkers en NFIR diensten bevinden zich in andere VPN’s die op fysiek andere servers staan. Ook kwaadwillenden met toegang tot de netwerkverbinding van de pentestbox stuiten op sterke beveiliging. De diensten op de pentestbox zijn alleen beschikbaar via de VPN en ook binnen de VPN wordt gebruik gemaakt van hoge standaarden. De ethisch hackers verbinden via SSH met public-key authenticatie en de andere diensten gebruiken willekeurige wachtwoorden van ten minste 20 karakters. Al deze maatregelen garanderen een veilig gebruik van de pentestbox.
Data veiligheid
Tijdens een grey box infrastructuur pentest worden vaak zeer gevoelige gegevens aangetroffen. Alle uitvoer van de hacking tools op de pentestbox wordt opgeslagen in een zeer sterk versleuteld deel van de SSD (harde schijf) in de pentestbox. Hiervoor gebruikt NFIR LUKS encryptie met een sleutel van 40 karakters. De gehele installatie van het besturingssysteem, Ubuntu Server, kan teruggedraaid worden naar de staat voor het starten van de pentestbox. Zo wordt voorkomen dat informatie in systeemlogboeken terecht komt. Na afloop van de pentest wordt de pentestbox op afstand opgeschoond. Belangrijke bewijsstukken worden gekopieerd, waarna alle data uit het versleutelde deel verwijderd wordt. Daarna herstelt NFIR de installatie naar de staat van voor de pentest. Op deze manier is het mogelijk om de pentestbox veilig terug te sturen per pakketpost.
Wat is het verschil tussen een pentest en een vulnerabilityscan?
Bij een vulnerability scan wordt gebruik gemaakt van geautomatiseerde scans om bekende kwetsbaarheden te ontdekken. Deze kwetsbaarheden worden vervolgens gerapporteerd. Het is een belangrijke eerste stap om inzicht te krijgen in mogelijke zwakheden binnen een systeem.
Een pentest gaat een stap verder. Tijdens een pentest wordt niet alleen geïdentificeerd welke kwetsbaarheden er zijn, maar ook daadwerkelijk misbruik gemaakt van deze kwetsbaarheden. Hierdoor wordt aangetoond wat het daadwerkelijke gevolg kan zijn voor een systeem of omgeving bij compromitatie. De ethisch hacker zal zijn ervaring en creativiteit inzetten om alle zwakheden van een omgeving in kaart te brengen, waardoor de organisatie een realistischer beeld krijgt van de risico’s die zij lopen.
Pentest of vulnerability-assessment? – Pentest laten uitvoeren – Neem nu contact op met NFIR
Hoe lang duurt een Pentest?
Afhankelijk van de grootte van de opdracht wordt er nauwkeurig beoordeeld of er meerdere personen op een pentest gezet moeten worden om de duur van de opdracht te beperken. De duur van een pentest kan variëren, afhankelijk van de omgeving die wordt getest en de complexiteit van de aanvalsscenario’s die worden gebruikt. Over het algemeen beslaat een pentest een periode van 2 tot 4 weken. Deze periode omvat niet alleen de uitvoering van de test zelf, maar ook de voorbereiding, analyse en de toelichting van de uiteindelijke rapportage.
Wanneer is een Pentest nodig?
Een pentest (penetratietest) is nodig omdat bedrijven vaak onbewust zijn van de kwetsbaarheden in hun netwerk en systemen. Het is een gecontroleerde en geautoriseerde poging om de beveiliging te evalueren door een gesimuleerde aanval. De belangrijkste redenen voor een pentest zijn het identificeren van kwetsbaarheden, risicobeheer, naleving van wetgeving, evaluatie van nieuwe toepassingen en wijzigingen, bescherming van klantgegevens, en het opbouwen van vertrouwen bij klanten en belanghebbenden. Het uitvoeren van regelmatige pentests is essentieel om de beveiliging te verbeteren en zich voor te bereiden op mogelijke aanvallen.
- Een pentest is bijvoorbeeld nuttig om:
Uw huidige situatie beoordelen op kwetsbaarheden. - Kwetsbaarheden op te sporen voor de release van nieuwe applicaties.
- Zwakheden na wijzigingen aan infrastructuur of applicaties te controleren.
- Te voldoen aan bedrijfsbeleid, normen en/of wetgeving die periodieke security assessments vereisen.
- Uw Cybersecurity volwassenheid te toetsen tegen de detectiemethoden die u heeft geïmplementeerd.
Welke methodieken en standaarden worden gebruikt tijdens de uitvoering van een Pentest?
Bij het uitvoeren van een pentest worden verschillende internationale standaarden en methodieken gebruikt om de kwetsbaarheden te ontdekken en te classificeren.
Enkele van de belangrijkste standaarden die van toepassing zijn op de opdracht zijn:
- Penetration Testing Execution Standard (PTES): Methodiek ten behoeve van infrastructuur pentesten.
- OWASP WSTG: Standaard ten behoeve van webapplicatie pentesten.
- OWASP Top 10: De 10 meest kritische kwetsbaarheden van webapplicaties.
- OWASP API Security Top 10: De 10 meest kritische kwetsbaarheden van API’s.
- OWASP MASTG: Standaard ten behoeve van mobiele applicatie pentesten.
- Common Vulnerability Scoring System (CVSS): Wordt gebruikt om de ernst van de kwetsbaarheden te classificeren.
Door gebruik te maken van deze standaarden kan een pentest gestructureerd en grondig worden uitgevoerd, en kunnen de resultaten op een duidelijke en vergelijkbare manier worden gerapporteerd.
Penetratietests door onze gecertificeerde experts
Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.
Black box of white box scenario?
Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.
Waar staan OWASP WSTG en OWASP MASTG voor?
- OWASP WSTG
Het Web Security Testing Guide (WSTG)-project is het belangrijkste hulpmiddel voor cyberveiligheidstests voor webapplicatieontwikkelaars en beveiligingsprofessionals. De WSTG is een uitgebreide gids voor het testen van de beveiliging van webapplicaties en webservices. De WSTG is tot stand gekomen door de gezamenlijke inspanningen van cyberbeveiligingsprofessionals en toegewijde vrijwilligers en biedt een raamwerk van beste praktijken die door penetratietesters en organisaties over de hele wereld worden gebruikt.
- OWASP MASTG
De OWASP Mobile Application Security Testing guide is een beveiligingsstandaard voor mobiele apps en een uitgebreide testgids die de processen, technieken en tools omvat die tijdens een beveiligingstest voor mobiele apps worden gebruikt, evenals een uitgebreide set testcases waarmee testers consistente en volledige resultaten kunnen leveren.
Waar staat de PTES standaard voor?
De Penetration Testing Execution Standard (PTES) bestaat uit een aantal hoofdonderdelen. Deze bestrijken alles wat met een penetratietest te maken heeft, namelijk:
- De initiële communicatie en de redenering achter een pentest;
- De fasen van informatieverzameling en dreigingsmodellering, waarin de testers achter de schermen werken om een beter inzicht in de geteste organisatie te krijgen;
- Het onderzoek naar kwetsbaarheden, exploitatie en post-exploitatie, waarin de technische beveiligingsexpertise van de testers aan bod komt en wordt gecombineerd met het zakelijk inzicht in de opdracht;
- De rapportage, waarin het hele proces wordt vastgelegd op een manier die voor de klant zinvol is en hem de meeste waarde oplevert.
Waar staat de CVSS standaard voor?
De Common Vulnerability Scoring System (CVSS) standaard biedt een open raamwerk voor de bekendmaking van de kenmerken en gevolgen van zwakke plekken in de beveiliging van software en hardware. Het kwantitatieve model is bedoeld om een consistente en nauwkeurige meting te waarborgen en gebruikers tegelijkertijd in staat te stellen de onderliggende kwetsbaarheidskenmerken te zien die zijn gebruikt om de scores te genereren.
