Penetratietesten/ethisch hacken

Bij het ethisch hacken bekijken wij hoe kwetsbaar uw technische omgeving is. Dit wordt door ons in kaart gebracht middels een rapportage en wordt aangevuld met een concreet advies.

Algemene beschrijving

Pentesting wordt over het algemeen vanuit verschillende invalshoeken uitgevoerd. Het uitvoeren van een Pentest heeft als doel om de effectiviteit van het beveiligingsbeleid te testen met betrekking tot de opgegeven scope. Dit kan vanaf het interne netwerk of het internet plaats vinden. Vanuit deze rol wordt er gekeken of infrastructuur en data afgeschermd zijn voor ongeautoriseerden. Een vraag zou kunnen zijn: “is de database voor een hacker van buitenaf te bereiken, en kan hij de data exfiltreren?”.

Doelstelling

Het uitvoeren van een Pentest heeft als doel om de effectiviteit van het beveiligingsbeleid te testen met betrekking tot de opgegeven scope. De scope van een pentest is vaak kleiner dan die van een  kwetsbaarhedenscan. Vaak betreft het een specifiek IT onderdeel. (Website, Database, de Security controls van een klant.)

Soorten penetratietesten

Bij penetratietesten maken we onderscheid in: Blackbox, Greybox en Whitebox.

Blackbox

Het doel van een Blackbox test is om het risico te onderzoeken van een kwaadwillende van buitenaf via het internet. Dit testen geschied zonder dat de credetials aan de tester worden verstrekt.

Greybox

Greybox testen is het testen met credentials. Dit zou bijvoordbeeld vanuit de persona een gebruiker van applicatie x met beperkte rechten kunnen zijn. Het doel zou kunnen zijn: kijk of het mogelijk is om vanuit de gebruikersrol zaken uit te voeren waar rechten voor nodig zouden zijn die deze niet beschikt.

Whitebox

Whitebox testen is over het algemeen het beoordelen van de risico’s vanuit een administrator rol. Het doel zou kunnen zijn, zoek naar mogelijke kwetsbaarheden in de broncode Dit is geen sourcecode review, maar wordt gebruikt om sneller kwetsbaarheden te vinden. Daarnaast kan duidelijk worden of de meest recente software in gebruik is waardoor het risico om kwetsbaarheden te gebruiken beperkt wordt. Daarnaast kan het ook tijdswinst opleveren wanneer de configuratie van bijv. een webapplicatie bekeken kan worden en hierdoor minder willekeurig Blackbox gezocht hoeft te worden. Een Pentester kan zelf goed onderscheiden wat hij mogelijkerwijs middels een blackbox gevonden had kunnen worden zonder de voorkennis van de whitebox controle.

Aanpak

Binnen Sincerus wordt bij de uitvoering van een pentest de volgende methodiek toegepast:

Scoping: het in kaart brengen van de behoeftes van de opdrachtgever en daaropvolgend gezamenlijke definitie van het project.

Information Gathering: tijdens “Information Gathering” wordt voornamelijk gezocht naar publieke gegevens over de opdrachtgever, toegepaste systemen, documentatie of over (ex-)medewerkers werkzaam bij de opdrachtgever. Onder andere wordt gezocht in publieke bronnen naar de organisatie, medewerkers, URL’s, IP’s, enzovoort en eventueel vindbare historische gegevens die richting kunnen geven in de testen. Desgewenst één en ander aangevuld met social engineering.

Vulnerability Scanning: “Vulnerability Scanning” bestaat uit het zoeken naar kwetsbaarheden en andere middelen om hiermee toegang tot de doelsystemen te kunnen verschaffen. Er zal een geautomatiseerde kwetsbaarhedenanalyse op de infrastructuur van opdrachtgever uitgevoerd worden met behulp van tooling als Nessus, Burp, Netsparker en andere.

Exploiting: tijdens “Exploiting” worden pogingen gedaan om de gevonden kwetsbaarheden en gevonden middelen uit de scanning fase te bevestigen. Hierbij wordt gebruikt gemaakt van beschikbare tooling en handmatige checks. Denk hierbij aan Burp Suite, OWASP ZAP, Nikto en OpenVAS.

Reporting: het rapport zal worden opgesteld, met waar mogelijk verbetervoorstellen, om het beveiligingsniveau van het systeem door de organisatie te kunnen verbeteren of te borgen.

Resultaat

Een rapportage over de aangetroffen kwetsbaarheden met een technische uitwerking. Met hier bovenop een management samenvatting (1 x A4). Daarnaast wordt een advies gegeven met betrekking tot geconstateerde gebreken.

MEER WETEN?

Wij helpen u snel verder!

x
RICHARD HULZINGA

Sales Consultant

Met mijn collega’s help ik u snel verder.

Bel: 06-51663174
of stuur een e-mail:
richard.hulzinga@sincerus.nl

Ja, ik ben geïnteresseerd in een penetratietest

Vul uw gegevens in en wij nemen snel contact met u op. U kunt dan alle informatie, over onder meer onze plan-van-aanpak rondom de penetratietest, tegemoet zien.

Maak ook kennis met onze professionals

Voor vrijblijvend advies of bijvoorbeeld
een gratis securityscan!
Menu