Infrastructuur pentesten

De infrastructuur pentesten worden uitgevoerd voor bedrijven die de functionaliteit, beveiliging en veiligheid van hun IT-infrastructuur willen controleren. Wij geven een eerlijk en realistisch statusoverzicht van uw omgeving. De scope van onze pentesten wordt altijd samen met de klant vastgesteld. Dat betekent dat wij onze diensten in elke gewenste omgeving kunnen uitvoeren: intern, extern of in de cloud!

Scopevoorbeelden

De volgende omgevingen kunnen tijdens een infrastructuur pentest meegenomen worden: Externe-, Interne- of Cloud IT-infrastructuren. Ook het testen van laptops, PC’s, smartphones of het testen van de beschikbare Wi-Fi op locatie behoort tot de mogelijkheden.

Wilt u inzicht in de beveiliging van één van bovenstaande omgevingen? Neem dan contact op!

Welke aanvalscenario´s zijn mogelijk voor infrastructuur pentesten?

Het meest voorkomende aanvalscenario voor een IT-infrastructuur is een combinatie van Black en Grey Box. Hieronder wordt voor beide aanvalscenario’s een illustratief voorbeeld gegeven. Tijdens een intake zullen de wensen in kaart worden gebracht om zo een geschikt mogelijk scenario te kiezen.

Black box pentesten hacker organisatie applicaties beveiliging informatie

Black Box van de externe IT-infrastructuur

Met minimale informatie zal een beeld gevormd worden van kwetsbaarheden in de publiek beschikbare IT-infrastructuur. Door middel van open bronnen onderzoek (OSINT) zal zoveel mogelijk informatie verzameld worden om zo mogelijk kwetsbaarheden te ontdekken.

Grey box pentesten risico hackers geautomatiseerde netwerk penetratietest nederland

Grey Box van de interne IT-infrastructuur

Het testen van de interne infrastructuur is minstens zo belangrijk als de externe omgeving. Met dit scenario wordt nagebootst wat een kwaadwillende hacker of malware zou kunnen doen, wanneer deze toegang krijgt tot het interne netwerk door bijvoorbeeld een phishing of social engineering aanval. Welke kwetsbaarheden zijn aanwezig en is het mogelijk om de privileges te verhogen tot beheerdersrechten?

Standaarden pentetratie testen

NFIR gebruikt de Penetration Testing Execution Standard (PTES) voor het pentesten van IT-infrastructuren. Deze standaard geeft u de garantie dat de pentest volgens de juiste maatstaven en compleet wordt uitgevoerd. Wij vinden het belangrijk om zo transparant mogelijk te zijn over de uitvoering van de pentest. Om die reden bieden wij bij diverse pentest standaarden een checklist die wordt toegevoegd aan de rapportage. Hierdoor ziet u welke controles zijn uitgevoerd, welke niet uitgevoerd konden worden en welke eventueel niet van toepassing waren.

Voorbeeldrapportage infrastructuur pentesten

Er is een voorbeeldrapportage (NL/EN) beschikbaar van een interne black box pentest. In deze rapportage is een pentest uitgevoerd op een fictieve omgeving, waarbij kwetsbaarheden inzichtelijk zijn gemaakt.
Pentest

Welke systemen kan u door de experts van NFIR laten testen?

Onze ethisch hackers controleren onder andere de technische weerbaarheid van (web) applicaties, websites, IT en OT-infrastructuren, API- koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten controleren dan gaan wij graag met u in gesprek.

Met minimale informatie zal een beeld gevormd worden van kwetsbaarheden in de publiek beschikbare IT-infrastructuur. Door middel van open bronnen onderzoek (OSINT) zal zoveel mogelijk informatie verzameld worden om zo mogelijk kwetsbaarheden te ontdekken.

Het testen van de interne infrastructuur is minstens zo belangrijk als de externe omgeving. Met dit scenario wordt nagebootst wat een kwaadwillende hacker of malware zou kunnen doen, wanneer deze toegang krijgt tot het interne netwerk door bijvoorbeeld een phishing of social engineering aanval. Welke kwetsbaarheden zijn aanwezig en is het mogelijk om de privileges te verhogen tot beheerdersrechten?

Hoe lang een pen test duurt is sterk afhankelijk van de omgeving die getest moet worden en de afspraken die met de opdrachtgever worden gemaakt over de in te zetten aanvalsscenario’s. Heeft u een omgeving die u graag wilt laten controleren dan gaan wij graag met u in gesprek.

De Penetration Testing Execution Standard (PTES) bestaat uit een aantal hoofdonderdelen. Deze bestrijken alles wat met een penetratietest te maken heeft, namelijk:

  • PTES standaard, technical guidelines, pentest wikiDe initiële communicatie en de redenering achter een pentest;
  • De fasen van informatieverzameling en dreigingsmodellering, waarin de testers achter de schermen werken om een beter inzicht in de geteste organisatie te krijgen;
  • Het onderzoek naar kwetsbaarheden, exploitatie en post-exploitatie, waarin de technische beveiligingsexpertise van de testers aan bod komt en wordt gecombineerd met het zakelijk inzicht in de opdracht;
  • De rapportage, waarin het hele proces wordt vastgelegd op een manier die voor de klant zinvol is en hem de meeste waarde oplevert.