Pentesten : dit moet je erover weten

In de huidige samenleving is het noodzakelijk voor bedrijven om pentesten te laten uitvoeren op hun (web)applicatie, website, IT-infrastructuur, koppelingen (API’s) en mobiele apps. Door middel van een penetratietest (ook wel pentest genoemd) kan inzichtelijk worden gemaakt waar de risico’s en kwetsbaarheden van de onderzochte systemen liggen en kunnen verbeteringen gericht worden doorgevoerd om de beveiliging te versterken en daarmee de risico’s en kwetsbaarheden te bestrijden.

Wat is een pentest?

Een pentest is een test waarbij ethical hackers systemen onderzoeken op kwetsbaarheden. De ethical hackers proberen op verscheidene manieren zwakke plekken in systemen aan het licht te brengen. Door een combinatie van geautomatiseerde tooling en creativiteit trachten de ethical hackers ongeautoriseerd toegang tot krijgen tot informatie en/of systemen. Een pentest vindt altijd plaats in opdracht en met toestemming van de eigenaren van de systemen die getest worden. Als er geen vrijwaringsverklaring, is er namelijk sprake van computervredebreuk. Nadat een pentest is uitgevoerd, worden de bevindingen door middel van een rapportage met de opdrachtgever gedeeld. In deze rapportage worden de gevonden kwetsbaarheden nauwkeurig beschreven, de scores middels de CVVS bepaald (Common Vulnerability Scoring System) en adviezen waarmee de kwetsbaarheden verholpen kunnen worden aangedragen. Aangeraden wordt om een pentest periodiek uit te voeren, omdat een pentest een momentopname betreft en omgevingen vaak aan veranderingen onderhevig zijn

Hoe gaat een pentest in zijn werk?

Een pentest van NFIR bestaat uit verschillende onderdelen. Er wordt gestart met een intakegesprek met de opdrachtgever. Tijdens dit intakegesprek bepalen wij samen met de opdrachtgever het onderzoeksgebied (de scope) van de pentest en adviseren wij over de wijze waarop wij voor uw organisatie de meest waardevolle pentest kunnen uitvoeren. Het is belangrijk dat helder op papier komt te staan wat het doel is van de pentest en wat de exacte scope is. Van de opdrachtgever zal informatie benodigd zijn om de werkzaamheden van de pentest goed in te kunnen schatten. Op basis van het intakegesprek zal een offerte opgesteld worden voor de opdrachtgever. In de offerte staat beschreven wat de opdrachtomschrijving, de scope, de pentestmethode en het tijdsverloop is. Daarnaast staan de algemene en specifieke vereisten voor de start van de pentest opgesomd. Ook de contactgegevens van het NFIR team, de tarieven en projectenkosten worden beschreven in de offerte. Indien NFIR in aanraking kan komen met persoonsgegevens zal, voorafgaand aan de pentest, ook een verwerkersovereenkomst moeten worden aangeboden door de opdrachtgever.

De 7 fasen van een penetratietest

Nadat de offerte en de vrijwaringsverklaring zijn ondertekend, zal de pentest ingepland worden in overleg met de opdrachtgever. Wij onderscheiden zeven fasen tijdens een penetratietest. Deze zeven fasen zijn:

De scope van de test

Voordat de opdracht bevestigd wordt, moet duidelijk zijn wat de scope van de pentest betreft. De scope is het object van onderzoek, ook wel onderzoeksgebied genoemd. Afhankelijk van het soort pentest zal geen, beperkte of complete informatie over de scope gedeeld worden door de opdrachtgever met NFIR.

Soorten pentpenetratietests

Om technische beveiligingsrisico’s of misbruik van een IT-infrastructuur, website, (mobiele) applicatie of koppeling(en) in kaart te brengen, zijn er ruwweg drie soorten pentesten die uitgevoerd kunnen worden. De verschillende soorten aanvalsscenario’s die mogelijk aan bod komen tijdens de pentest zijn de Black Box, Grey Box en White Box. Hieronder worden de aanvalsscenario’s toegelicht.

Black box pentesten hacker organisatie applicaties beveiliging informatie

Black Box pentest

Een Black Box audit kan vergeleken worden met een echte aanval, zoals hackers deze zouden uitvoeren. Er is vooraf geen informatie verstrekt door de opdrachtgever. Onze ethische hackers zullen onder andere middels open bronnen onderzoek (OSINT) uw omgeving in kaart brengen. Zo kunnen ze op zoek gaan naar kwetsbaarheden.

Grey box pentesten risico hackers geautomatiseerde netwerk penetratietest nederland

Grey Box pentest

Bij deze pentest sporen ethisch hackers zowel zonder als met informatie kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps op. De combinatie van beide aanvalsscenario’s geeft een zo compleet mogelijk beeld van de technische weerbaarheid van uw digitale omgeving.

white box pentesten ethische hardware vulnerability pentester security audit computersystemen

White Box pentest

(ook wel Crystal box genoemd). Bij een White Box audit wordt vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. Denk hierbij aan source code, gedefinieerde scope, rollen/rechten matrix en functionaliteiten lijst.

De testmethodieken

Om een succesvolle pentest uit te voeren, gebruikt NFIR verschillende methoden voor het testen van informatiebeveiliging. De drie belangrijke standaarden zijn de Penetration Execution Standard (PTES), Open Source Security Testing Methodology Manual (OSSTMM) en het Open Web Application Security Project (OWASP). Door gebruik te maken van deze normen, zorgt NFIR voor een succesvol en grondig uitgevoerd veiligheidsonderzoek en krijgt de opdrachtgever zekerheid over de volledigheid van de uitgevoerde pentest.

Het Common Vulnerability Scoring System versie 3, afgekort tot het CVSS-risicomodel, wordt gebruikt om de ernst van een kwetsbaarheid te bepalen. Dit model wordt gebruikt door NFIR om de beveiligingslekken te classificeren. Het scoresysteem werkt op basis van negen verschillende basisparameters, die samen de risico score bepalen. Die basisparameters zijn:

  • Het aanvalsoppervlak waarop de aanval wordt uitgevoerd.
  • De complexiteit van de uitvoering van de aanval, voor een aanvaller.
  • De privileges (zoals bijvoorbeeld accounts) die nodig zijn om de aanval uit te voeren.
  • De vorm van interactie met het slachtoffer die al dan niet nodig is om de aanval uit te voeren.
  • Het beheer van de ‘scope’ door een, al dan niet, externe partij die beslissingen neemt.
  • De gevolgen voor de vertrouwelijkheid van het aangevallen systeem.
  • De gevolgen voor de integriteit van het aangevallen systeem.
  • De impact op de beschikbaarheid van het aangevallen systeem.

Deze parameters vormen samen een score van nul (0) tot tien (10), waarbij tien de hoogste vorm van kwetsbaarheid vertegenwoordigt. Deze scores geven een classificatie op basis van vijf categorieën: informatief, laag, gemiddeld, hoog en kritiek, zoals te zien is in de tabel.

security, it, audit, box, organisatie, penetratietest pentest tools

Vervolgens zal aan de hand van input van de opdrachtgever per onderdeel van de scope een CIA bepaling worden toegevoegd. De CIA bepaling past de CVVS score aan naar de weging van de opdrachtgever. Het gaat om de wegingen op basis van de volgende onderdelen:

  • Confidentiality (vertrouwelijkheid)
  • Integrity (integriteit)
  • Availability (beschikbaarheid)

Per onderdeel kunnen de volgende waarden worden toegewezen:

  • Hoog: Het aantasten van de vertrouwelijkheid, integriteit en de beschikbaarheid heeft rampzalige gevolgen voor de organisatie.
  • Gemiddeld: Het aantasten van de vertrouwelijkheid, integriteit en de beschikbaarheid heeft serieuze gevolgen voor de organisatie.
  • Laag: Het aantasten van de vertrouwelijkheid, integriteit en de beschikbaarheid heeft beperkte gevolgen voor de organisatie.
data protection

Als de CIA weging niet wordt toegevoegd, zal de CVSS score hetzelfde zijn als gekozen wordt voor de waarde ‘medium’.

Waarom een Pentest uitvoeren?

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden, waarin voorgeschreven staat dat persoonsgegevens beschermd moeten worden tegen lekken en misbruik. Door passende technische en organisatorische maatregelen te nemen, kunnen persoonsgegevens worden beschermd. Een pentest behoort tot die passende maatregelen omdat het inzichtelijk maakt wat de risico’s en kwetsbaarheden zijn van de onderzochte omgevingen. Hierbij wordt ook gecontroleerd of (bedrijfs)gevoelige informatie goed beveiligd is. Aan de hand van de adviezen uit een pentest kunnen risico’s en kwetsbaarheden gemitigeerd worden en kan een organisatie haar beveiliging naar een hoger niveau brengen. Het laten uitvoeren van een pentest is een waardevolle beoordeling van de onderzochte systemen, waarbij in een rapportage geconstateerde risico’s en kwetsbaarheden worden besproken en eventuele adviezen voor verbetering worden aangedragen.

Wil je meer weten over pentesten?

NFIR heeft specialisten in dienst die alles van pentesten af weten en kwetsbaarheden op een zorgvuldige wijze aan het licht brengen. Wilt u graag weten wat wij voor u kunnen betekenen met onze pentesten? Neem dan contact met ons op! Wij voeren onder andere pentesten uit op uw (web)applicatie, website, IT-infrastructuur, koppelingen (API’s) en mobiele apps en kunnen code van uw software reviewen indien gewenst.

Penetratietest laten uitvoeren?

NFIR classificeert de kwetsbaarheden van pentesten middels het Common Vulnerability Scoring System (CVSS 3.1)
Pentest
  1. Een pentest geeft een meer gedetailleerd beeld van de huidige IT-security waarbij aandacht bestaat voor alle potentiële zwakheden.
  2. Een pentest geeft om die reden een completer beeld omdat een hacker hetzelfde doet tijdens een aanval.
  3. Met een vulnerablity scan worden algemeen bekende kwetsbaarheden gevonden, veel voorkomende configuratiefouten opgespoord en technische risico-inschattingen gemaakt per kwetsbaarheid.
  4. Bij een pentest gaat de ethisch hacker ook middels een dosis creativiteit actief op zoek naar kwetsbaarheden.

lees 7 belangrijke vragen bij pentesten​

  1. Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis.
  2. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald.
  3. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.

Hoe lang een pentest duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s.

  1. Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters.
  2. Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld.
  3. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.
  1. Een Black Box pentest is voornamelijk geschikt als een omgeving voor het eerst gepentest wordt en u een algemeen beeld wilt krijgen van de beveiliging.
  2. Een Grey Box-penetratietest is een tussenvorm van de Black Box en White Box pentest, waarbij de onderzoekers beperkte inloggegevens en -informatie ter beschikking hebben.
  3. De Grey Box pentest wordt over het algemeen toegepast om te kijken hoe veilig een omgeving is vanuit het perspectief van een medewerker of klant.
  1. Maak met elkaar afspraken wanneer de informatie aangeleverd moet zijn, wanneer de pentest zal gaan plaatsvinden, wat de pentest betekent voor de dagelijkse gang van zaken binnen uw bedrijf en wanneer de rapportage opgeleverd zal worden.
  2. De opdracht moet helder zijn en de informatie die van te voren benodigd is, moet tijdig aangeleverd zijn, anders kan een pentest niet van start gaan.

De drie belangrijkste standaarden (afhankelijk van de te testen omgeving) zijn de Penetration Execution Standard (PTES), Open Source Security Testing Methodology Manual (OSSTMM), en het Open Web Application Security Project (OWASP).

NFIR biedt een unieke aanpak voor het vinden van IT kwetsbaarheden. Onze ethische hackers zijn goed opgeleid en werken volgens gestandaardiseerde ISO normeringen om kwetsbaarheden in uw IT te vinden.

NFIR is een Computer Emergency Response Team (CERT)

NFIR is in het bezit van een ISO-27001 certificering. 

Scroll naar top

Pentesting en kwetsbaarhedenscans: de verschillen

Download onze gratis whitepaper:

Maak een afspraak met een consultant over Managed Detection and Response

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.