6 Belangrijke vragen bij Pentesten

6 Belangrijke vragen bij Pentesten

Penetratietesten en code reviews zijn noodzakelijk om de weerbaarheid en de effectieve werking van de beveiliging aan te tonen. 

 

Soorten pentesten

 

Penetratietesten kennen 3 verschillende aanvalsscenario’s. Deze worden uitgevoerd om kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps aan het licht te brengen. Deze scenario’s zijn de Black Box, Grey Box en de White Box. Hieronder worden ze kort toegelicht. In alle gevallen worden de pentesten volgens internationale standaarden uitgevoerd.

 

  • Black Box pentest. Een Black Box audit kan vergeleken worden met een echte aanval, zoals hackers deze zouden uitvoeren. Er is vooraf geen informatie verstrekt door de opdrachtgever. Onze ethische hackers zullen onder andere middels open bronnen onderzoek (OSINT) uw omgeving in kaart brengen. Zo kunnen ze op zoek gaan naar kwetsbaarheden.
  • Grey Box pentest. Bij deze pentest sporen ethisch hackers zowel zonder als met informatie kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps op. 
  • White Box pentest (ook wel Crystal box genoemd). Bij een White Box audit wordt vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. Denk hierbij aan source code, gedefinieerde scope, rollen/rechten matrix en functionaliteiten lijst. 

 

Wat is het verschil tussen een pentest en een vulnerabilityscan?

Het grootste verschil tussen een pentest en een vulnerabilityscan betreft de reikwijdte van wat onderzocht wordt. Een vulnerability scan geeft een algemeen beeld van hoe de IT-security geregeld is. Met een vulnerability scan worden algemeen bekende kwetsbaarheden gevonden, veel voorkomende configuratiefouten opgespoord en technische risico-inschattingen gemaakt per kwetsbaarheid. Een pentest doet dat ook en nog veel meer. Een pentest geeft een meer gedetailleerd beeld van de huidige IT-security waarbij aandacht bestaat voor alle potentiële zwakheden. Bij een pentest gaat de ethisch hacker ook middels een dosis creativiteit actief op zoek naar kwetsbaarheden. Een pentest geeft om die reden een completer beeld omdat een hacker hetzelfde doet tijdens een aanval. 

Waarom zijn gecertificeerde experts nodig voor een penetratietest?

De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend. Verder beschikken onze pentesters over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. 

Hoe lang duurt een pentest?

Hoe lang een pentest duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s. Om een pentest goed uit te kunnen voeren, adviseert NFIR om minimaal 40 uur af te nemen. In die 40 uur wordt de omgeving getest en de rapportage geschreven. Wilt u een passend advies voor uw omgeving of (web)applicatie? Neem dan contact met ons op voor een kennismaking- en intakegesprek!

Black box of white box scenario?

Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. De pentesters kunnen heel specifiek de omgeving testen, omdat zij van te voren weten waar ze mee te maken hebben. Deze variant leidt tot een grondige pentest van de omgeving van de opdrachtgever. Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Er wordt wel altijd een onderzoeksgebied (scope) vastgesteld, zodat de pentest gelimiteerd is. De pentesters gaan bij deze variant te werk als echte hackers. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.

Black box pentesten hacker organisatie applicaties beveiliging informatie

Black Box pentest

Een Black Box audit kan vergeleken worden met een echte aanval, zoals hackers deze zouden uitvoeren. Er is vooraf geen informatie verstrekt door de opdrachtgever. Onze ethische hackers zullen onder andere middels open bronnen onderzoek (OSINT) uw omgeving in kaart brengen. Zo kunnen ze op zoek gaan naar kwetsbaarheden.

Grey box pentesten risico hackers geautomatiseerde netwerk penetratietest nederland

Grey Box pentest

Bij deze pentest sporen ethisch hackers zowel zonder als met informatie kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps op. 

white box pentesten ethische hardware vulnerability pentester security audit computersystemen

White Box pentest

(ook wel Crystal box genoemd). Bij een White Box audit wordt vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. Denk hierbij aan source code, gedefinieerde scope, rollen/rechten matrix en functionaliteiten lijst.

Wat biedt een grey-box pentest meer dan een black-box?

Een Grey Box-penetratietest is een tussenvorm van de Black Box en White Box pentest, waarbij de onderzoekers beperkte inloggegevens en -informatie ter beschikking hebben. Omdat de pentester beperkte informatie ontvangt vanuit de organisatie, is deze per definitie beter geïnformeerd dan een kwaadwillende hacker. De Grey Box pentest wordt over het algemeen toegepast om te kijken hoe veilig een omgeving is vanuit het perspectief van een medewerker of klant.

Maak goede afspraken over de pentest

Goede afspraken zorgen ervoor dat een pentest soepel kan verlopen. Belangrijk is dat van te voren duidelijk is wat verwacht wordt van beide partijen. Het allerbelangrijkste is duidelijkheid over de scope van de opdracht om duidelijk te hebben wat er getest wordt, binnen welke afgesproken tijd (en wat de kosten betreffen). De opdracht moet helder zijn en de informatie die van te voren benodigd is, moet tijdig aangeleverd zijn, anders kan een pentest niet van start gaan. Maak met elkaar afspraken wanneer de informatie aangeleverd moet zijn, wanneer de pentest zal gaan plaatsvinden, wat de pentest betekent voor de dagelijkse gang van zaken binnen uw bedrijf en wanneer de rapportage opgeleverd zal worden.

Welke pentest methodiek en standaarden te gebruiken?

Om een succesvolle pentest uit te voeren, gebruikt NFIR verschillende methoden voor het testen van informatiebeveiliging. De drie belangrijkste standaarden (afhankelijk van de te testen omgeving) zijn de Penetration Execution Standard (PTES) en de 2 standaarden van de organisatie Open Web Application Security Project (OWASP). De standaarden zijn; Het WSTG en het MASTGHet Common Vulnerability Scoring System versie 3.1, afgekort tot het CVSS-risicomodel, wordt gebruikt om de ernst van een kwetsbaarheid te bepalen. Dit internationale model wordt gebruikt door NFIR om de beveiligingslekken te classificeren.

Penetratietest laten uitvoeren?

NFIR classificeert de kwetsbaarheden van pentesten middels het Common Vulnerability Scoring System (CVSS 4.0)
Pentest

NFIR is specialist op het gebied van cyber security. Wij helpen organisaties de gevolgschade van een cyber incident te beperken en stellen digitaal forensisch bewijs veilig om de oorzaak van de schade te kunnen achterhalen. Daarnaast kunnen wij u met onze diensten helpen bij het vergroten van uw weerbaarheid tegen cyber incidenten en ondersteuning bieden bij het verbeteren van uw digitale vitale infrastructuur. Onze ervaren medewerkers, die allemaal goedkeuring van de korpschef hebben ontvangen, zijn in staat u op een no-nonsense manier te ondersteunen en te adviseren met onze preventieve diensten en reactieve diensten.

U hebt mogelijk veel vragen over pentesten. Wij bieden een gratis 15 minuten consult om antwoord te geven op uw vragen. 
Stel uw vragen over vulnerability scan of een pentest tijdens een gratis advies gesprek.

  • Waar kies je voor, een vulnerability scan of een pentest?
  • Hoeveel hackers proberen per dag in te breken op mijn server?
  • Wilt u een advies, pentest, onderzoek of audit uit laten voeren?
  • Wat is precies een pentest, welke varianten zijn er, wat komt erbij kijken en wat heb je nu eigenlijk aan een pentest?
  • Is voor goede security een pentest voldoende?
  • Hoe kan een firewall in versleutelde pakketten kijken?
    Wat doe ik om de organisatie mee te nemen in de voorbereiding op een pentest?
  • Waarom de ethisch hackers van nfir inhuren voor pentesten?

Heeft u meer informatie nodig over de mogelijkheden van penetration testing binnen uw organisatie?

Pentesting en kwetsbaarhedenscans: de verschillen

Download onze gratis whitepaper: