Infrastructuur pentesten
Infrastructuur pentesten
De infrastructuur pentesten worden uitgevoerd voor bedrijven die de functionaliteit, beveiliging en veiligheid van hun IT-infrastructuur willen controleren. Wij geven een eerlijk en realistisch statusoverzicht van uw omgeving. De scope van onze pentesten wordt altijd samen met de klant vastgesteld. Dat betekent dat wij onze diensten in elke gewenste omgeving kunnen uitvoeren: intern, extern of in de cloud!
Scopevoorbeelden
De volgende omgevingen kunnen tijdens een infrastructuur pentest meegenomen worden: Externe-, Interne- of Cloud IT-infrastructuren. Ook het testen van laptops, PC’s, smartphones of het testen van de beschikbare Wi-Fi op locatie behoort tot de mogelijkheden. Wilt u inzicht in de beveiliging van één van bovenstaande omgevingen? Of heeft u een ander vraagstuk waar u antwoord op wilt? Neem dan contact op!
Welke aanvalscenario´s zijn mogelijk voor infrastructuur pentesten?
Het meest voorkomende aanvalscenario voor een IT-infrastructuur is een combinatie van Black en Grey Box. Hieronder wordt voor beide aanvalscenario’s een illustratief voorbeeld gegeven. Tijdens een intake zullen de wensen in kaart worden gebracht om zo een geschikt mogelijk scenario te kiezen.
Black Box van de externe IT-infrastructuur
Met minimale informatie zal een beeld gevormd worden van kwetsbaarheden in de publiek beschikbare IT-infrastructuur. Door middel van open bronnen onderzoek (OSINT) zal zoveel mogelijk informatie verzameld worden om zo mogelijk kwetsbaarheden te ontdekken.
Grey Box van de interne IT-infrastructuur
Het testen van de interne infrastructuur is minstens zo belangrijk als de externe omgeving. Met dit scenario wordt nagebootst wat een kwaadwillende hacker of malware zou kunnen doen, wanneer deze toegang krijgt tot het interne netwerk door bijvoorbeeld een phishing of social engineering aanval. Welke kwetsbaarheden zijn aanwezig en is het mogelijk om de privileges te verhogen tot beheerdersrechten?
Pentestbox tijdens interne infrastructuur pentesten
Een groot deel van de aanvallen op bedrijven begint bij gehackte computers of accounts van medewerkers die zich in de vertrouwde kantooromgeving bevinden. Soms installeert een medewerker per ongeluk iets of wordt zijn of haar account gecompromitteerd. Daarnaast kan het zijn dat de servers op locatie worden aangevallen. Om te testen wat er kan gebeuren als dit scenario zich voordoet, is het nodig om een computer binnen het netwerk te plaatsen. Voorheen kwamen de ethisch hackers van NFIR hiervoor fysiek naar uw kantoorlocatie, tegenwoordig wordt dit ook op afstand gedaan met een pentestbox.
Opdrachtgevers aan het woord
Pentesten
Ministerie van Volksgezondheid, Welzijn en Sport
Digitaal Forensisch Onderzoek & Pentesting
Willem van Oranje Onderwijsgroep
Security Monitoring & Pentesten
Koninklijke Hordijk
Methodiek infrastructuur pentest
NFIR gebruikt de Penetration Testing Execution Standard (PTES) voor het pentesten van IT-infrastructuren. Deze methodiek geeft u de garantie dat de pentest volgens de juiste maatstaven en compleet wordt uitgevoerd. Wij vinden het belangrijk om zo transparant mogelijk te zijn over de uitvoering van de pentest. Om die reden bieden wij bij diverse pentest standaarden een checklist die wordt toegevoegd aan de rapportage. Hierdoor ziet u welke controles zijn uitgevoerd, welke niet uitgevoerd konden worden en welke eventueel niet van toepassing waren.
Voorbeeldrapportage infrastructuur pentesten
In deze rapportage is een pentest uitgevoerd op een fictieve omgeving, waarbij kwetsbaarheden inzichtelijk zijn gemaakt
Pentesten
Laat uw gegevens achter zodat een professional u zo spoedig mogelijk terug kan bellen.
"*" geeft vereiste velden aan
Welke systemen kan u door de experts van NFIR laten testen?
Onze ethisch hackers controleren onder andere de technische weerbaarheid van (web) applicaties, websites, IT en OT-infrastructuren, API- koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten controleren dan gaan wij graag met u in gesprek.
Wat is het verschil tussen een pentest en een vulnerabilityscan?
Bij een vulnerability scan wordt gebruik gemaakt van geautomatiseerde scans om bekende kwetsbaarheden te ontdekken. Deze kwetsbaarheden worden vervolgens gerapporteerd. Het is een belangrijke eerste stap om inzicht te krijgen in mogelijke zwakheden binnen een systeem.
Een pentest gaat een stap verder. Tijdens een pentest wordt niet alleen geïdentificeerd welke kwetsbaarheden er zijn, maar ook daadwerkelijk misbruik gemaakt van deze kwetsbaarheden. Hierdoor wordt aangetoond wat het daadwerkelijke gevolg kan zijn voor een systeem of omgeving bij compromitatie. De ethisch hacker zal zijn ervaring en creativiteit inzetten om alle zwakheden van een omgeving in kaart te brengen, waardoor de organisatie een realistischer beeld krijgt van de risico’s die zij lopen.
Pentest of vulnerability-assessment? – Pentest laten uitvoeren – Neem nu contact op met NFIR
Hoe lang duurt een Pentest?
Afhankelijk van de grootte van de opdracht wordt er nauwkeurig beoordeeld of er meerdere personen op een pentest gezet moeten worden om de duur van de opdracht te beperken. De duur van een pentest kan variëren, afhankelijk van de omgeving die wordt getest en de complexiteit van de aanvalsscenario’s die worden gebruikt. Over het algemeen beslaat een pentest een periode van 2 tot 4 weken. Deze periode omvat niet alleen de uitvoering van de test zelf, maar ook de voorbereiding, analyse en de toelichting van de uiteindelijke rapportage.
Wanneer is een Pentest nodig?
Een pentest (penetratietest) is nodig omdat bedrijven vaak onbewust zijn van de kwetsbaarheden in hun netwerk en systemen. Het is een gecontroleerde en geautoriseerde poging om de beveiliging te evalueren door een gesimuleerde aanval. De belangrijkste redenen voor een pentest zijn het identificeren van kwetsbaarheden, risicobeheer, naleving van wetgeving, evaluatie van nieuwe toepassingen en wijzigingen, bescherming van klantgegevens, en het opbouwen van vertrouwen bij klanten en belanghebbenden. Het uitvoeren van regelmatige pentests is essentieel om de beveiliging te verbeteren en zich voor te bereiden op mogelijke aanvallen.
- Een pentest is bijvoorbeeld nuttig om:
Uw huidige situatie beoordelen op kwetsbaarheden. - Kwetsbaarheden op te sporen voor de release van nieuwe applicaties.
- Zwakheden na wijzigingen aan infrastructuur of applicaties te controleren.
- Te voldoen aan bedrijfsbeleid, normen en/of wetgeving die periodieke security assessments vereisen.
- Uw Cybersecurity volwassenheid te toetsen tegen de detectiemethoden die u heeft geïmplementeerd.
Welke methodieken en standaarden worden gebruikt tijdens de uitvoering van een Pentest?
Bij het uitvoeren van een pentest worden verschillende internationale standaarden en methodieken gebruikt om de kwetsbaarheden te ontdekken en te classificeren.
Enkele van de belangrijkste standaarden die van toepassing zijn op de opdracht zijn:
- Penetration Testing Execution Standard (PTES): Methodiek ten behoeve van infrastructuur pentesten.
- OWASP WSTG: Standaard ten behoeve van webapplicatie pentesten.
- OWASP Top 10: De 10 meest kritische kwetsbaarheden van webapplicaties.
- OWASP API Security Top 10: De 10 meest kritische kwetsbaarheden van API’s.
- OWASP MASTG: Standaard ten behoeve van mobiele applicatie pentesten.
- Common Vulnerability Scoring System (CVSS): Wordt gebruikt om de ernst van de kwetsbaarheden te classificeren.
Door gebruik te maken van deze standaarden kan een pentest gestructureerd en grondig worden uitgevoerd, en kunnen de resultaten op een duidelijke en vergelijkbare manier worden gerapporteerd.
Penetratietests door onze gecertificeerde experts
Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.
Black box of white box scenario?
Een Black Box pentest houdt in dat vooraf geen informatie over de omgeving wordt gedeeld met de pentesters. Met een pentest op basis van het White Box-principe wordt alle informatie over de omgeving van tevoren gedeeld. Als u voor het eerst een pentest laat uitvoeren en daarbij een algemeen beeld wilt krijgen van uw beveiliging, is het nuttig om een Black Box pentest uit te laten voeren.
Waar staan OWASP WSTG en OWASP MASTG voor?
- OWASP WSTG
Het Web Security Testing Guide (WSTG)-project is het belangrijkste hulpmiddel voor cyberveiligheidstests voor webapplicatieontwikkelaars en beveiligingsprofessionals. De WSTG is een uitgebreide gids voor het testen van de beveiliging van webapplicaties en webservices. De WSTG is tot stand gekomen door de gezamenlijke inspanningen van cyberbeveiligingsprofessionals en toegewijde vrijwilligers en biedt een raamwerk van beste praktijken die door penetratietesters en organisaties over de hele wereld worden gebruikt.
- OWASP MASTG
De OWASP Mobile Application Security Testing guide is een beveiligingsstandaard voor mobiele apps en een uitgebreide testgids die de processen, technieken en tools omvat die tijdens een beveiligingstest voor mobiele apps worden gebruikt, evenals een uitgebreide set testcases waarmee testers consistente en volledige resultaten kunnen leveren.
Waar staat de PTES standaard voor?
De Penetration Testing Execution Standard (PTES) bestaat uit een aantal hoofdonderdelen. Deze bestrijken alles wat met een penetratietest te maken heeft, namelijk:
- De initiële communicatie en de redenering achter een pentest;
- De fasen van informatieverzameling en dreigingsmodellering, waarin de testers achter de schermen werken om een beter inzicht in de geteste organisatie te krijgen;
- Het onderzoek naar kwetsbaarheden, exploitatie en post-exploitatie, waarin de technische beveiligingsexpertise van de testers aan bod komt en wordt gecombineerd met het zakelijk inzicht in de opdracht;
- De rapportage, waarin het hele proces wordt vastgelegd op een manier die voor de klant zinvol is en hem de meeste waarde oplevert.
Waar staat de CVSS standaard voor?
De Common Vulnerability Scoring System (CVSS) standaard biedt een open raamwerk voor de bekendmaking van de kenmerken en gevolgen van zwakke plekken in de beveiliging van software en hardware. Het kwantitatieve model is bedoeld om een consistente en nauwkeurige meting te waarborgen en gebruikers tegelijkertijd in staat te stellen de onderliggende kwetsbaarheidskenmerken te zien die zijn gebruikt om de scores te genereren.
NFIR maakt gebruik van betrouwbare pentestdiensten, gecertificeerd met het CCV-keurmerk Pentesten. Wij zijn uw Cybersecurity partner als u opzoek bent naar een nuchter Nederlands Cybersecurity bedrijf dat jarenlange ervaring heeft met pentesting. Onze gecertificeerde ethische hackers identificeren kwetsbaarheden en bieden concrete en bruikbare inzichten over de effectiviteit van uw beveiligingsmaatregelen. Neem vandaag nog contact op om ook uw cybersecurity onder de loep te nemen.
Pentesten van hoge kwaliteit
Gecertificeerde en kwaliteitsgerichte pentesters
Pentesten zijn essentieel om de technische weerbaarheid en de effectieve werking van de beveiliging te toetsen. Onze pentesters richten zich op het identificeren van kwetsbaarheden in systemen door het inzetten van verschillende aanvalstechnieken. Onze vakkundige en professionele pentesters hebben ruime ervaring, creativiteit en actuele vakkennis. De pentesters hebben diverse relevante opleidingen gevolgd en zijn in het bezit van o.a. de volgende certificeringen OSCP, OSWP, OSWE, OSEP, CPTS, CBBH, en eWPT.
Pentesten en het CCV keurmerk:
- Dit keurmerk, gebaseerd op de NEN-EN-ISO/IEC-normen 17021 en 17065, geeft klanten de garantie dat de uitvoering van een pentest opdracht door NFIR op een professionele en kwalitatief hoogwaardige wijze wordt uitgevoerd.
- NFIR bezit sinds 07-01-2022 het CCV-kwaliteitskeurmerk voor Pentesting.
Ik wil mijn omgeving(en) pentesten!
Zodra u dit formulier invult nemen wij direct contact met u op om u te informeren over de mogelijkheden. Wij plannen een vrijblijvende intake in met een Technical Lead om de scope onderdelen en aanvalsscenario’s af te stemmen.
Heeft u tussentijds vragen? Neemt u dan telefonisch contact met ons op op het algemene NFIR telefoonnummer: 088 313 0205
"*" geeft vereiste velden aan