Laat de weerbaarheid van uw (web)applicatie, website, IT-infrastructuur, koppelingen (API’s) en mobiele apps controleren door een penetratietest van NFIR.  

Penetratietesten en code reviews zijn noodzakelijk om de weerbaarheid en de effectieve werking van de beveiliging aan te tonen. Wilt u inzicht in de mate van beveiliging van uw website, (web)applicatie of interne netwerk? Laat dan een penetratietest (pentest) uitvoeren door de ethisch hackers van NFIR. Wij bieden pentesten op maat, zodat datgene getest wordt waar u inzicht in wilt verkrijgen.

Soorten pentesten

Penetratietesten kunnen op drie verschillende manieren worden uitgevoerd om kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps aan het licht te brengen. Deze manieren zijn een Black Box, een Grey Box en een White Box pentest. Hieronder worden ze kort toegelicht. In alle gevallen worden de pentesten volgens internationale standaarden uitgevoerd.

  • Black Box pentest. Een Black Box audit kan vergeleken worden met een echte aanval, zoals hackers deze zouden uitvoeren. Er is vooraf geen informatie verstrekt door de opdrachtgever. Onze ethische hackers zullen onder andere middels open bronnen onderzoek (OSINT) uw omgeving in kaart brengen. Zo kunnen ze op zoek gaan naar kwetsbaarheden.
  • Grey Box pentest. Bij deze pentest sporen ethisch hackers zowel zonder als met informatie kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps op. De combinatie van beide aanvalsscenario’s geeft een zo compleet mogelijk beeld van de technische weerbaarheid van uw digitale omgeving.
  • White Box pentest (ook wel Crystal box genoemd). Bij een White Box audit wordt vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. Denk hierbij aan source code, gedefinieerde scope, rollen/rechten matrix en functionaliteiten lijst. 

Tijdens het intakegesprek bepalen wij samen met de opdrachtgever de scope van de pentest en adviseren wij over de wijze waarop wij voor uw organisatie de meest waardevolle pentest kunnen uitvoeren.

Pentest standaarden

Onze OSCP gecertificeerde ethische hackers voeren de pentesten voor onze opdrachtgevers zeer zorgvuldig uit. Diverse internationaal geaccepteerde standaarden en hoogwaardige tooling worden hierbij toegepast. De standaarden geven u de garantie dat de pentest volgens de juiste maatstaven en zeer compleet wordt uitgevoerd. Wij hanteren onder andere de volgende standaarden:

  • Open Source Security Testing Methodology Manual (OSSTMM) voor de IT-infrastructuur
  • OWASP Top 10 voor (web)applicaties
  • Mobile Security Testing Guide (MSTG) voor mobiele applicaties

Naast het volgen van deze standaarden gebruiken onze ethische hackers ook hun gezond verstand en veel creativiteit. Juist door op een creatieve wijze de pentest uit te voeren, vinden wij geregeld kwetsbaarheden, waarmee u uw omgevingen veiliger en weerbaarder kunt maken.

Heldere, complete en zeer bruikbare rapportages over penetratietesten

Kwetsbaarheden vinden is niet ons enige doel. Onze ethische hackers rapporteren de gevonden kwetsbaarheden op een heldere en vooral voor uw organisatie bruikbare wijze. In de pentest rapportage staat exact beschreven volgens welke standaarden getest is, wat er getest is, welke tooling gebruikt is, welke kwetsbaarheden gevonden zijn en wat het advies is voor het oplossen van deze kwetsbaarheden.

NFIR rapporteert de kwetsbaarheden middels het Common Vulnerability Scoring System (CVSS 3.0). Dit Scoring System biedt een manier om de belangrijkste kenmerken van een kwetsbaarheid te identificeren. De vervolgstap is het produceren van een numerieke score die de ernst ervan weergeeft. De numerieke score wordt vervolgens vertaald naar een kwalitatieve weergave (informatief, laag, gemiddeld, hoog en kritiek). Hiermee kunnen we de kwetsbaarheden goed beoordelen en prioriteiten stellen om deze op te lossen.

Aangezien een pentest een momentopname betreft en uw omgevingen vaak aan veranderingen onderhevig zijn, is het belangrijk om periodiek een pentest uit te laten voeren. U kunt onze periodieke pentest rapportages gebruiken om uw klanten te informeren over de verbeteringen die u heeft doorgevoerd om de technische weerbaarheid van uw organisatie en/of dienst te vergroten.

 

Penetratietest laten uitvoeren?

NFIR rapporteert de kwetsbaarheden van pentesten middels het Common Vulnerability Scoring System (CVSS 3.0)
Pentest
  1. Een vulnerability scan geeft een algemeen beeld van hoe de IT-security geregeld is. Een pentest geeft een meer gedetailleerd beeld van de huidige IT-security.
  2. Met een vulnerablity scan worden algemeen bekende kwetsbaarheden gevonden. Bij een pentest bestaat aandacht voor alle potentiële zwakheden.
    • Bij vulnerabilityscanning wordt gebruik gemaakt van geautomatiseerde scans om kwetsbaarheden te ontdekken. Bij een pentest wordt ook gebruik van gemaakt geautomatiseerde scans en daarnaast gaat de onderzoeker middels een dosis creativiteit actief op zoek naar kwetsbaarheden. 

lees 7 belangrijke vragen bij pentesten​

Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.

Hoe lang een pentest duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s.

Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.

Een Black Box pentest is voornamelijk geschikt als een omgeving voor het eerst gepentest wordt en u een algemeen beeld wilt krijgen van de beveiliging. Een Grey Box-penetratietest is een tussenvorm van de Black Box en White Box pentest, waarbij de onderzoekers beperkte inloggegevens en -informatie ter beschikking hebben. De Grey Box pentest wordt over het algemeen toegepast om te kijken hoe veilig een omgeving is vanuit het perspectief van een medewerker of klant.

Maak met elkaar afspraken wanneer de informatie aangeleverd moet zijn, wanneer de pentest zal gaan plaatsvinden, wat de pentest betekent voor de dagelijkse gang van zaken binnen uw bedrijf en wanneer de rapportage opgeleverd zal worden. De opdracht moet helder zijn en de informatie die van te voren benodigd is, moet tijdig aangeleverd zijn, anders kan een pentest niet van start gaan.

De drie belangrijke standaarden die NFIR gebruikt (afhankelijk van de te testen omgeving) zijn de Penetration Execution Standard (PTES), Open Source Security Testing Methodology Manual (OSSTMM) en het Open Web Application Security Project (OWASP). Door middel van het Common Vulnerability Scoring System (versie 3) wordt  de ernst van een kwetsbaarheid bepaald. Verder gebruikt NFIR input van de opdrachtgever om een CIA weging toe te passen op de gevonden kwetsbaarheden.