Pentesten & security audits om uw digitale weerbaarheid te toetsen
Pentesten & security audits om uw digitale weerbaarheid te toetsen
Bedrijven en organisaties zijn in toenemende maten afhankelijk van hun IT/OT-omgevingen voor hun dagelijkse operaties. De gegevens in deze belangrijke omgevingen zijn dan ook vaak de levensader van een organisatie. Om de veiligheid, integriteit en beschikbaarheid van uw gegevens vast te stellen , zijn pentests noodzakelijk. Een pentest toont namelijk aan in hoeverre uw beveiliging effectief is en of uw organisatie weerbaar genoeg is op het moment van de pentest. NFIR biedt pentesten op maat die op vakkundige wijze worden uitgevoerd door onze ethische hackers. NFIR maakt bovendien enkel gebruik van gestandaardiseerde en uniforme pentesten. Alleen op die manier kunnen wij u kwalitatief goede en grondige pentests garanderen.
Wat is het belang van pentesten uitvoeren voor uw organisatie?
Specifieke normeringen en wetgevingen verlangen dat u passende maatregelen neemt om uw informatiebeveiliging zo effectief en efficiënt mogelijk in te richten. Voorbeelden van die normeringen en wetgevingen zijn de ENSIA, de BIO, de ISO en de AVG. ENSIA wordt specifiek gebruikt door gemeenten, provincies, waterschappen en enkele onderdelen binnen de rijksoverheid om zich te verantwoorden over de staat van informatiebeveiliging. De ISO en AVG-wetgeving is overkoepelend en biedt de basis voor zowel de publieke en private sector. Aanvullend op de genoemde normeringen en wetgevingen, verwachten alle partijen die betrokken zijn bij uw organisatie, van klant tot aan aandeelhouder, dat u betrouwbaar bent en dat u zorgvuldig met uw informatie omgaat. Een pentest is van fundamenteel belang om hen die garantie te bieden.
Wat kunt u laten pentesten?
Tijdens de intake voorafgaand aan de pentest bepalen wij samen met u exact welke omgevingen wij pentesten. In grote lijnen kunnen wij uw (web)applicaties, websites, IT/OT-infrastructur, API- koppelingen en mobiele apps pentesten op kwetsbaarheden. Tijdens de intake bepalen we de exacte scope van het onderzoek en vanuit welk aanvalscenario’s we de pentest zullen uitvoeren. De aanvalscenario’s worden in de volgende sectie nader toegelicht
Welke aanvalscenario’s zijn er mogelijk (soorten pentesten)?
Een pentest kan worden uitgevoerd vanuit verschillende perspectieven, waarbij het resultaat (gedeeltelijk) afhankelijk is van het gekozen aanvalsperspectief. Tijdens een intakegesprek bepalen wij samen de scope van de pentest en adviseren wij over de wijze waarop wij voor uw organisatie de meest waardevolle pentest kunnen uitvoeren.
Black Box pentest
Een Black Box audit kan vergeleken worden met een echte aanval, zoals hackers deze zouden uitvoeren.
Een Black Box pentest houdt in dat er vooraf geen informatie verstrekt wordt door de opdrachtgever. Onze ethische hackers zullen onder andere met open bronnenonderzoek (OSINT) uw omgeving in kaart brengen. Zo kunnen zij op zoek gaan naar kwetsbaarheden.
Grey Box pentest
Bij dit pentest-type sporen ethisch hackers zowel zonder als met informatie kwetsbaarheden in uw (web)applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps op. De combinatie van beide aanvalsscenario’s geeft een zo compleet mogelijk beeld van de technische weerbaarheid van uw digitale omgeving. Bij Grey box pentesting wordt gebruik gemaakt van een gebruikersaccount en wordt gevraagd om een gedefinieerde scope, een rollen/rechten matrix en een functionaliteitenlijst.
White Box pentest
Bij een White Box pentest (ook wel Crystal box genoemd), wordt vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. Denk hierbij aan de informatie die ook bij Grey Box pentesting wordt opgevraagd. Aanvullend hierop wordt gebruik gemakt van broncode, logbestanden en toegang tot de server. Daarnaast wordt ook gebruik gemaakt van de mogelijkheid om een eigen testomgeving op te zetten.
Van pentest naar rapportage
Nadat de pentests zorgvuldig en volgens alle geldende standaarden (o.a. OWASP WSTG, MASTG, PTES, CVSS) zijn uitgevoerd, maken wij voor u een rapportage op waarin u alle bevindingen terug kunt vinden en waarin per bevinding is aangegeven hoe de kwetsbaarheid verholpen kan worden. Het is van groot belang dat u van ons heldere, complete en bruikbare rapportages ontvangt. Kwetsbaarheden vinden is immers niet ons enige doel. Onze ethische hackers rapporteren de gevonden kwetsbaarheden op een heldere en vooral voor uw organisatie bruikbare wijze. In de pentest rapportage staat exact beschreven volgens welke standaarden getest is, wat er getest is, welke tooling gebruikt is, welke kwetsbaarheden gevonden zijn en wat het advies is voor het oplossen van deze kwetsbaarheden.
Vraag hier een voorbeeld pentest rapportage aan om inzicht te krijgen in onze wijze van rapporteren en de gegevens die wij hierin verwerken.
Pentesten door onze gecertificeerde medewerkers
Onze ethisch hackers controleren onder andere de technische weerbaarheid van (web)applicaties, websites, IT en OT-infrastructuren, API- koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten controleren dan gaan wij graag met u in gesprek.
Adviesgesprek inplannen.
Wilt u weten of een pentest voor uw organisatie nodig is en wat dit met zich meebrengt?
Veel gestelde vragen
Wat is het verschil tussen een pentest en een vulnerabilityscan?
- Een vulnerability scan geeft een algemeen beeld van hoe de IT-security geregeld is. Een pentest geeft een meer gedetailleerd beeld van de huidige IT-security.
- Met een IT vulnerablity scan worden algemeen bekende kwetsbaarheden gevonden. Bij een pentest bestaat aandacht voor alle potentiële zwakheden.
- Bij vulnerabilityscanning wordt gebruik gemaakt van geautomatiseerde scans om kwetsbaarheden te ontdekken. Bij een pentest wordt ook gebruik van gemaakt geautomatiseerde scans en daarnaast gaat de onderzoeker middels een dosis creativiteit actief op zoek naar kwetsbaarheden.
Pentest of vulnerability-assessment? - Pentest laten uitvoeren - Neem nu contact op met NFIR
Penetratietests door onze gecertificeerde experts
Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.
Hoe lang duurt een pen test?
Hoe lang een pen test duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s.
Black box of white box scenario?
Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.
Volgens welke methodieken voeren jullie pentesten uit?
De belangrijke standaarden die NFIR gebruikt (afhankelijk van de te testen omgeving) zijn:
- OWASP WSTG (Open Web Application Security Project Web Security Testing Guide)
- OWASP MASTG (Open Web Application Security Project Mobile Application Testing Guide)
- PTES (Penetration Execution Standard (PTES))
- NOREA DigiD Assessment
- CVSS (Common Vulnerability Scoring System)
Door middel van het Common Vulnerability Scoring System (versie 3.1) wordt de ernst van een kwetsbaarheid bepaald. Verder gebruikt NFIR input van de opdrachtgever om een CIA weging toe te passen op de gevonden kwetsbaarheden.
Waar staan OWASP WSTG en OWASP MASTG voor?
- OWASP WSTG
Het Web Security Testing Guide (WSTG)-project is het belangrijkste hulpmiddel voor cyberveiligheidstests voor webapplicatieontwikkelaars en beveiligingsprofessionals. De WSTG is een uitgebreide gids voor het testen van de beveiliging van webapplicaties en webservices. De WSTG is tot stand gekomen door de gezamenlijke inspanningen van cyberbeveiligingsprofessionals en toegewijde vrijwilligers en biedt een raamwerk van beste praktijken die door penetratietesters en organisaties over de hele wereld worden gebruikt.
- OWASP MASTG
De OWASP Mobile Application Security Testing guide is een beveiligingsstandaard voor mobiele apps en een uitgebreide testgids die de processen, technieken en tools omvat die tijdens een beveiligingstest voor mobiele apps worden gebruikt, evenals een uitgebreide set testcases waarmee testers consistente en volledige resultaten kunnen leveren.
Waar staat de PTES standaard voor?
De Penetration Testing Execution Standard (PTES) bestaat uit een aantal hoofdonderdelen. Deze bestrijken alles wat met een penetratietest te maken heeft, namelijk:
- De initiële communicatie en de redenering achter een pentest;
- De fasen van informatieverzameling en dreigingsmodellering, waarin de testers achter de schermen werken om een beter inzicht in de geteste organisatie te krijgen;
- Het onderzoek naar kwetsbaarheden, exploitatie en post-exploitatie, waarin de technische beveiligingsexpertise van de testers aan bod komt en wordt gecombineerd met het zakelijk inzicht in de opdracht;
- De rapportage, waarin het hele proces wordt vastgelegd op een manier die voor de klant zinvol is en hem de meeste waarde oplevert.
Waar staat de CVSS standaard voor?
De Common Vulnerability Scoring System (CVSS) standaard biedt een open raamwerk voor de bekendmaking van de kenmerken en gevolgen van zwakke plekken in de beveiliging van software en hardware. Het kwantitatieve model is bedoeld om een consistente en nauwkeurige meting te waarborgen en gebruikers tegelijkertijd in staat te stellen de onderliggende kwetsbaarheidskenmerken te zien die zijn gebruikt om de scores te genereren.
