Penetratietesten en code reviews zijn noodzakelijk om de weerbaarheid en de effectieve werking van de beveiliging aan te tonen. 

Soorten pentesten

Penetratietesten kunnen op drie verschillende manieren worden uitgevoerd om kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps aan het licht te brengen. Deze manieren zijn een Black Box, een Grey Box en een White Box pentest. Hieronder worden ze kort toegelicht. In alle gevallen worden de pentesten volgens internationale standaarden uitgevoerd.

  • Black Box pentest. Een Black Box audit kan vergeleken worden met een echte aanval, zoals hackers deze zouden uitvoeren. Er is vooraf geen informatie verstrekt door de opdrachtgever. Onze ethische hackers zullen onder andere middels open bronnen onderzoek (OSINT) uw omgeving in kaart brengen. Zo kunnen ze op zoek gaan naar kwetsbaarheden.
  • Grey Box pentest. Bij deze pentest sporen ethisch hackers zowel zonder als met informatie kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps op. De combinatie van beide aanvalsscenario’s geeft een zo compleet mogelijk beeld van de technische weerbaarheid van uw digitale omgeving.
  • White Box pentest (ook wel Crystal box genoemd). Bij een White Box audit wordt vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. Denk hierbij aan source code, gedefinieerde scope, rollen/rechten matrix en functionaliteiten lijst. 

Wat is het verschil tussen een pentest en een vulnerabilityscan?

Het grootste verschil tussen een pentest en een vulnerabilityscan betreft de reikwijdte van wat onderzocht wordt. Een vulnerability scan geeft een algemeen beeld van hoe de IT-security geregeld is. Met een vulnerablity scan worden algemeen bekende kwetsbaarheden gevonden, veel voorkomende configuratiefouten opgespoord en technische risico-inschattingen gemaakt per kwetsbaarheid. Een pentest doet dat ook en nog veel meer. Een pentest geeft een meer gedetailleerd beeld van de huidige IT-security waarbij aandacht bestaat voor alle potentiële zwakheden. Bij een pentest gaat de ethisch hacker ook middels een dosis creativiteit actief op zoek naar kwetsbaarheden. Een pentest geeft om die reden een completer beeld omdat een hacker hetzelfde doet tijdens een aanval.

Waarom zijn gecertificeerde experts nodig voor een penetratietest?

De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend. Verder beschikken onze penters over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. Belangijkste kenmerk van gecertificeerde experts is het waarborgen van de de veiligheid van uw infrastructuur.

Hoe lang duurt een pentest?

Hoe lang een pentest duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s. Om een pentest goed uit te kunnen voeren, adviseert NFIR om minimaal 40 uur af te nemen. In die 40 uur wordt de omgeving getest en de rapportage geschreven. Wilt u een passend advies voor uw omgeving of (web)applicatie? Neem dan contact met ons op voor een kennismaking- en intakegesprek!

Black box of white box scenario?

Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. De pentesters kunnen heel specifiek de omgeving testen, omdat zij van te voren weten waar ze mee te maken hebben. Deze variant leidt tot een grondige pentest van de omgeving van de opdrachtgever. Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Meestal wordt wel een onderzoeksgebied (scope) vastgesteld, zodat de pentest gelimiteerd is. De pentesters gaan bij deze variant te werk als echte hackers. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.

Wat biedt een grey-box pentest meer dan een black-box?

Een Grey Box-penetratietest is een tussenvorm van de Black Box en White Box pentest, waarbij de onderzoekers beperkte inloggegevens en -informatie ter beschikking hebben. Door de beperkte informatie die de pentesters ontvangen zijn zij beter geïnformeerd dat een hacker. Een Black Box pentest is voornamelijk geschikt als een omgeving voor het eerst gepentest wordt en u een algemeen beeld wilt krijgen van de beveiliging. De Grey Box pentest wordt over het algemeen toegepast om te kijken hoe veilig een omgeving is vanuit het perspectief van een medewerker of klant.

Maak goede afspraken over de pentest

Goede afspraken zorgen ervoor dat een pentest soepel kan verlopen. Belangrijk is dat van te voren duidelijk is wat verwacht wordt van beide partijen. Het allerbelangrijkste is duidelijkheid over de scope van de opdracht om duidelijk te hebben wat er getest wordt, binnen welke afgesproken tijd (en wat de kosten betreffen). De opdracht moet helder zijn en de informatie die van te voren benodigd is, moet tijdig aangeleverd zijn, anders kan een pentest niet van start gaan. Maak met elkaar afspraken wanneer de informatie aangeleverd moet zijn, wanneer de pentest zal gaan plaatsvinden, wat de pentest betekent voor de dagelijkse gang van zaken binnen uw bedrijf en wanneer de rapportage opgeleverd zal worden.

Welke pentest methodiek te gebruiken?

Om een succesvolle pentest uit te voeren, gebruikt NFIR verschillende methoden voor het testen van informatiebeveiliging. De drie belangrijkste standaarden (afhankelijk van de te testen omgeving) zijn de Penetration Execution Standard (PTES), Open Source Security Testing Methodology Manual (OSSTMM), en het Open Web Application Security Project (OWASP). Het Common Vulnerability Scoring System versie 3.1, afgekort tot het CVSS-risicomodel, wordt gebruikt om de ernst van een kwetsbaarheid te bepalen. Dit internationale model wordt gebruikt door NFIR om de beveiligingslekken te classificeren.

Penetratietest laten uitvoeren?

NFIR rapporteert de kwetsbaarheden van pentesten middels het Common Vulnerability Scoring System (CVSS 3.0)
Pentest

NFIR is specialist op het gebied van cyber security. Wij helpen organisaties de gevolgschade van een cyber incident te beperken en stellen digitaal forensisch bewijs veilig om de oorzaak van de schade te kunnen achterhalen. Daarnaast kunnen wij u met onze diensten helpen bij het vergroten van uw weerbaarheid tegen cyber incidenten en ondersteuning bieden bij het verbeteren van uw digitale vitale infrastructuur. Onze ervaren medewerkers, die allemaal goedkeuring van de korpschef hebben ontvangen, zijn in staat u op een no-nonsense manier te ondersteunen en te adviseren met onze preventieve diensten (awarenesstrainingenpentesten en security monitoring) en reactieve diensten (incident response en digitaal forensisch onderzoek).