6 Belangrijke vragen bij Pentesten
Penetratietesten en code reviews zijn noodzakelijk om de weerbaarheid en de effectieve werking van de beveiliging aan te tonen.
1. Welke soorten pentesten zijn er?
Penetratietesten kennen 3 verschillende aanvalsscenario’s. Deze worden uitgevoerd om kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps aan het licht te brengen. Deze scenario’s zijn de Black Box, Grey Box en de White Box. Hieronder worden ze kort toegelicht. In alle gevallen worden de pentesten volgens internationale standaarden uitgevoerd bij NFIR.
- Black Box pentest. Een Black Box audit komt in vergelijking het dichtste bij een echte aanval zoals kwaadwillende hackers deze zouden uitvoeren. Er is vooraf geen informatie verstrekt door de opdrachtgever. Onze ethische hackers zullen onder andere middels open bronnen onderzoek (OSINT) uw omgeving in kaart brengen. Zo kunnen ze op zoek gaan naar kwetsbaarheden.
- Grey Box pentest. Bij deze pentest sporen ethisch hackers zowel zonder als met informatie kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps op.
- White Box pentest (ook wel Crystal box genoemd). Bij een White Box audit wordt vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. Denk hierbij aan source code, gedefinieerde scope, rollen/rechten matrix en functionaliteiten lijst.
2. Wat is het verschil tussen een pentest en een vulnerabilityscan?
Het grootste verschil tussen een pentest en een vulnerabilityscan betreft de reikwijdte van wat onderzocht wordt. Een vulnerability scan geeft een algemeen beeld van hoe de IT-security geregeld is. Met een vulnerability scan worden algemeen bekende kwetsbaarheden gevonden, veel voorkomende configuratiefouten opgespoord en technische risico-inschattingen gemaakt per kwetsbaarheid. Een pentest doet dat ook en nog veel meer. Een pentest geeft een meer gedetailleerd beeld van de huidige IT-security waarbij aandacht bestaat voor alle potentiële zwakheden. Bij een pentest gaat de ethisch hacker ook middels een dosis creativiteit actief op zoek naar kwetsbaarheden. Een pentest geeft om die reden een completer beeld omdat een hacker hetzelfde doet tijdens een aanval.
3. Waarom zijn gecertificeerde experts nodig voor een penetratietest?
De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend. Verder beschikken onze pentesters over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis.
Laat ons uw risico's in kaart brengen!
Kom erachter hoe veilig u écht bent en neem vandaag nog contact op.
4. Hoe lang duurt een pentest?
Hoe lang een pentest duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s. Om een pentest goed uit te kunnen voeren adviseert NFIR om minimaal 40 uur af te nemen. In die 40 uur wordt de omgeving getest en de rapportage geschreven. Wilt u een passend advies voor uw omgeving of (web)applicatie? Neem dan contact met ons op voor een kennismaking- en intakegesprek!
5. Welk aanvalsscenario past het beste bij mijn organisatie, Black box of white box scenario?
Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. De pentesters kunnen heel specifiek de omgeving testen, omdat zij van te voren weten waar ze mee te maken hebben. Deze variant leidt tot een grondige pentest van de omgeving van de opdrachtgever. Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Er wordt wel altijd een onderzoeksgebied (scope) vastgesteld, zodat de pentest gelimiteerd is. De pentesters gaan bij deze variant te werk als echte hackers. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.
Black Box pentest
Een Black Box audit kan vergeleken worden met een echte aanval, zoals hackers deze zouden uitvoeren. Er is vooraf geen informatie verstrekt door de opdrachtgever. Onze ethische hackers zullen onder andere middels open bronnen onderzoek (OSINT) uw omgeving in kaart brengen. Zo kunnen ze op zoek gaan naar kwetsbaarheden.
Grey Box pentest
Bij deze pentest sporen ethisch hackers zowel zonder als met informatie kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps op.
White Box pentest
(ook wel Crystal box genoemd). Bij een White Box audit wordt vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. Denk hierbij aan source code, gedefinieerde scope, rollen/rechten matrix en functionaliteiten lijst.
Ontdek Onze Pentest Diensten!
Heeft u behoefte aan een grondige pentest voor uw applicatie, website, IT-infrastructuur of mobiele apps?
NFIR’s experts brengen kwetsbaarheden zorgvuldig aan het licht.
Neem direct contact op om te zien hoe wij u kunnen helpen!
6. Wat biedt een grey-box pentest meer dan een black-box?
Een Grey Box-penetratietest is een tussenvorm van de Black Box en White Box pentest, waarbij de onderzoekers beperkte inloggegevens en -informatie ter beschikking hebben. Omdat de pentester beperkte informatie ontvangt vanuit de organisatie, is deze per definitie beter geïnformeerd dan een kwaadwillende hacker. De Grey Box pentest wordt over het algemeen toegepast om te kijken hoe veilig een omgeving is vanuit het perspectief van een medewerker of klant.
Tip: Maak goede afspraken over de pentest
Goede afspraken zorgen ervoor dat een pentest soepel kan verlopen. Belangrijk is dat van te voren duidelijk is wat verwacht wordt van beide partijen. Het allerbelangrijkste is duidelijkheid over de scope van de opdracht om duidelijk te hebben wat er getest wordt, binnen welke afgesproken tijd (en wat de kosten betreffen). De opdracht moet helder zijn en de informatie die van te voren benodigd is moet tijdig aangeleverd zijn, anders kan een pentest niet van start gaan. We maken met elkaar afspraken wanneer de informatie aangeleverd moet zijn, wanneer de pentest zal gaan plaatsvinden, wat de pentest betekent voor de dagelijkse gang van zaken binnen uw bedrijf en wanneer de rapportage opgeleverd zal worden.
Welke pentest methodiek en standaarden te gebruiken?
Om een succesvolle pentest uit te voeren, gebruikt NFIR verschillende methoden voor het testen van informatiebeveiliging. De drie belangrijkste standaarden (afhankelijk van de te testen omgeving) zijn de Penetration Execution Standard (PTES) en de 2 standaarden van de organisatie Open Web Application Security Project (OWASP). De standaarden zijn; Het WSTG en het MASTG. Het Common Vulnerability Scoring System versie 3.1, afgekort tot het CVSS-risicomodel, wordt gebruikt om de ernst van een kwetsbaarheid te bepalen. Dit internationale model wordt gebruikt door NFIR om de beveiligingslekken te classificeren.
Waarom de ethisch hackers van NFIR inhuren voor pentesten?
NFIR is specialist op het gebied van cyber security. Wij helpen organisaties de gevolgschade van een cyber incident te beperken en stellen digitaal forensisch bewijs veilig om de oorzaak van de schade te kunnen achterhalen. Daarnaast kunnen wij u met onze diensten helpen bij het vergroten van uw weerbaarheid tegen cyber incidenten en ondersteuning bieden bij het verbeteren van uw digitale vitale infrastructuur. Onze ervaren medewerkers, die allemaal goedkeuring van de korpschef hebben ontvangen, zijn in staat u op een no-nonsense manier te ondersteunen en te adviseren met onze preventieve diensten en reactieve diensten.
Gratis consult over de mogelijkheden van pentesten
U hebt mogelijk veel vragen over pentesten. Wij bieden een gratis 15 minuten consult om antwoord te geven op uw vragen.
Stel uw vragen over vulnerability scan of een pentest tijdens een gratis advies gesprek.
- Waar kies je voor, een vulnerability scan of een pentest?
- Hoeveel hackers proberen per dag in te breken op mijn server?
- Wilt u een advies, pentest, onderzoek of audit uit laten voeren?
- Wat is precies een pentest, welke varianten zijn er, wat komt erbij kijken en wat heb je nu eigenlijk aan een pentest?
- Is voor goede security een pentest voldoende?
- Hoe kan een firewall in versleutelde pakketten kijken?
Wat doe ik om de organisatie mee te nemen in de voorbereiding op een pentest? - Waarom de ethisch hackers van nfir inhuren voor pentesten?
Heeft u meer informatie nodig over de mogelijkheden van penetration testing binnen uw organisatie?
Pentesten van hoge kwaliteit
Gecertificeerde en kwaliteitsgerichte pentesters
Pentesten zijn essentieel om de technische weerbaarheid en de effectieve werking van de beveiliging te toetsen. Onze pentesters richten zich op het identificeren van kwetsbaarheden in systemen door het inzetten van verschillende aanvalstechnieken. Onze vakkundige en professionele pentesters hebben ruime ervaring, creativiteit en actuele vakkennis. De pentesters hebben diverse relevante opleidingen gevolgd en zijn in het bezit van o.a. de volgende certificeringen OSCP, OSWP, OSWE, OSEP, CPTS, CBBH, en eWPT.
Pentesten en het CCV keurmerk:
- Dit keurmerk, gebaseerd op de NEN-EN-ISO/IEC-normen 17021 en 17065, geeft klanten de garantie dat de uitvoering van een pentest opdracht door NFIR op een professionele en kwalitatief hoogwaardige wijze wordt uitgevoerd.
- NFIR bezit sinds 07-01-2022 het CCV-kwaliteitskeurmerk voor Pentesting.
Ik wil mijn omgeving(en) pentesten!
Zodra u dit formulier invult nemen wij direct contact met u op om u te informeren over de mogelijkheden. Wij plannen een vrijblijvende intake in met een Technical Lead om de scope onderdelen en aanvalsscenario’s af te stemmen.
Heeft u tussentijds vragen? Neemt u dan telefonisch contact met ons op op het algemene NFIR telefoonnummer: 088 313 0205
"*" geeft vereiste velden aan