Pentest

Een pentest (penetratietest) is een zeer effectieve manier om te achterhalen hoe het met de veiligheid van uw IT-systemen gesteld is. Met een pentest gaan onze ethische hackers op realistische wijze aan de slag met het inbreken op uw systemen.

Holistische aanpak

Een pentest richt zich doorgaans op één of meerdere onderdelen van uw IT-infrastructuur. Pentests zijn eigenlijk een soort steekproeven. Onze analyse houdt daar echter niet op.

We combineren verschillende maatregelen, zowel geautomatiseerd als handmatig. Op die manier kunnen we beter maatwerk leveren en een hogere kwaliteit aanbevelingen doen en maatregelen nemen.

Verschillende soorten

Iedereen doet waar hij of zij goed in is en dat is voor ons security. Onze werkwijze is gestructureerd en over iedere stap is nagedacht. Toch is iedere IT-omgeving uniek en iedere opdrachtgever heeft specifieke wensen en eisen op het gebied van IT-beveiliging. Hier vindt u een overzicht van de diensten die wij aanbieden.

Netwerk Pentest

Bij het uitvoeren van een pentest met de focus op het netwerk van jouw bedrijf krijg je inzicht in de IT-risico’s binnen het bedrijfsnetwerk. Het doel van de pentest is om de algemene staat van de interne of externe beveiliging te controleren.

(Web) Applicatie Pentest

Tegenwoordig staat een groot deel van de data online in applicaties. Denk hierbij aan het CRM-systeem, de website met inlogpagina, de financiële systemen of een in-house ontwikkelde webapplicatie. Door het uitvoeren van een pentest krijg je inzicht in de kwetsbaarheden van (web)applicaties.

Risk Assessment

Onze pentesters zetten ze een reeks geavanceerde methoden in om toegang te krijgen tot een laptop, server of IOT-device. Van bruteforce aanvallen tot het benutten van bekende kwetsbaarheden door verouderde software of configuratiefouten.

Laat je bedrijf nog pentesten.

Neem vandaag nog contact op 0229 799 800 voor een vrijblijvende intake. Onze security consultants staan voor u klaar.

Veel gestelde vragen

Hier vindt u onze veelgestelde vragen over pentesten. Wilt u meer weten over wat een pentest voor uw bedrijf kan betekenen? Staat uw vraag er niet tussen, of wilt u een vrijblijvend adviesgesprek, dan kunt u ook contact met ons opnemen.

Contact

Wat is een pentest?

Bij een pentest (penetratietest) proberen we binnen te dringen in het netwerk en toegang te krijgen tot vitale server systemen. Een pentest wordt uitgevoerd vanuit twee primaire aanvalspunten namelijk extern of intern. Het doel is om kwetsbaarheden te identificeren die daadwerkelijk kunnen worden misbruikt. Er zijn vele soorten beveiligingsonderzoeken, onze ethische hackers kunnen een pentest uitvoeren op een netwerk, configuraties, webapplicaties, draadloze netwerken, cliënt-serverapplicaties, mobiele apparaten maar ook via social engineering. Tijdens een beveilgingsonderzoek maken we gebruik van menselijke interactie en vindingrijkheid om fouten te ontdekken die geautomatiseerde hulpmiddelen vaak missen.

Waarom is een pentest interessant voor uw bedrijf?

Met een pentest, of ‘penetratietest’, zoeken wij naar zwakke plekken in uw digitale systemen. Een pentester is een ethisch hacker, oftewel een hacker die u inhuurt om de digitale veiligheid van uw netwerk, systemen, of specifieke software te testen. Wij ontdekken op die manier kwetsbaarheden in uw systeem, die u dan preventief kunt oplossen voordat cybercriminelen er misbruik van maken. Dit is vooral zinvol, aangezien er een toename is van ongeveer 30% in ransomware-aanvallen vergeleken met het voorgaande jaar.

Wat is het resultaat van een pentest?

Met een pentest achterhaal je het beveiligingsniveau op een bepaald punt binnen je IT-infrastructuur. Door verschillende benaderingen te kiezen bij een pentest, kunnen we alle kwetsbaarheden in kaart brengen. Onze gecertificeerde ethische hackers analyseren de risico’s en gevolgen, en stellen een rapport op met aanbevelingen en praktische acties. Op die manier kan de beveiliging naar een hoger niveau worden gebracht.

Is een pentest een goed idee?

Een pentest zal een goed beeld geven van de onderdelen waar verbeteringen kunnen worden aangebracht op het gebied van IT security. Wij bieden u veel handvatten die u meteen kunt gebruiken om de IT security van uw bedrijf te verbeteren. Zo kunt u ervoor zorgen dat uw bedrijf en uw klanten veilig zijn.

Wat is het verschil tussen een vulnerability scan en een pentest?

Een vulnerability scan wordt vaak verward met een penetratietest, maar er zijn enkele belangrijke verschillen tussen de twee:

Een vulnerability scan is een geautomatiseerde test op hoog niveau die zoekt naar mogelijke zwakke plekken in de beveiliging. Daarentegen is een penetratietest een grondig onderzoek waarbij een ethisch hacker daadwerkelijk in de complexiteit van uw netwerk duikt om zwakke plekken in uw systemen te identificeren en uit te buiten.
Een vulnerability scan identificeert alleen kwetsbaarheden, terwijl een penetratietest dieper graaft om de hoofdoorzaak van de kwetsbaarheid vast te stellen die toegang tot beveiligde systemen of opgeslagen gevoelige gegevens mogelijk maakt. De pentester zoekt ook naar kwetsbaarheden in de bedrijfslogica die door een automatische scanner gemist kunnen worden.

Wat is het verschil tussen black- white en greybox?

Blackbox – Bij een blackbox-aanpak simuleren we een aanvaller, we starten vanaf een hardware box of virtuele machine en een reeks IP-adressen die in-scope zijn. Vanuit hier simuleren we een aanval op een netwerk van binnenuit waarbij de gedachte is dat een aanvaller is binnengedrongen via phishing of via een remote code execution kwetsbaarheid op het externe netwerk.
Greybox – Bij een greybox-aanpak worden vooraf login-gegevens verstrekt aan de consultants. Hierdoor kan een inzicht worden verkregen in de kwetsbaarheden die mogelijk uitgebuit kunnen worden door gebruikers die legitiem toegang tot een systeem, netwerk of applicatie hebben. Alle onderzoeken die in een black-box-aanpak worden uitgevoerd, worden eveneens in een grey-box-aanpak uitgevoerd.
Whitebox (Crystal box) – Bij een whitebox-aanpak wordt volledig inzicht gegeven in de werking van het te onderzoeken systeem. Er wordt dan bijvoorbeeld beheer-toegang verstrekt tot servers en de broncode van een applicatie wordt ter beschikking gesteld. Vragen over de inrichting worden door architecten, ontwikkelaars of beheerders beantwoord. Hierdoor kunnen die onderdelen van de omgeving beoordeeld worden, waar anders geen toegang tot zou zijn.

Wat is de doorlooptijd van een pentest?

De duur van een pentest hangt af van het type test en het aantal systemen en eventuele beperkende voorwaarden. De gemiddelde test duur is 1-3 weken. Uw consultant zal dit samen met u inventariseren.

Wat is de prijs van een pentest?

De prijs is afhankelijk van de scope, complexiteit, het type audit, de grote van het netwerk, het aantal hosts, vlans en subnets etc. Wilt u meer weten? Bel ons dan gerust! 0229 799 800 of stuur een e-mail naar [email protected]. Uw consultant zal samen met u inventariseren wat de mogelijkheden zijn.

Wat zijn de risico's van een pentest?

Er bestaat niet zoiets als een risicovrije pentest. Tijdens een pentest zijn onze ethische hackers bezig om een systeem te testen met als doel nieuwe kwetsbaarheden aan het licht te brengen, dit houdt in dat je onverwachte processen aanroept en het is daarom niet altijd mogelijk om te voorspellen hoe een systeem hierop reageert. Het risico kan nooit volledig worden geëlimineerd, maar met de juiste aanpak wordt het risico sterk verminderd.

Welke stappen worden er doorlopen tijdens de pentest?

De volgende stappen worden er doorlopen tijdens een pentest:

Inventarisatie: Tijdens dit gesprek bespreken we de scope, het type audit, de grote van het netwerk, het aantal hosts, vlans en subnets, (web) applicaties en eventueel complexiteit waar we rekening mee moeten houden. We doen dit om de breedte en diepte in balans te brengen en de kosten overzichtelijk te houden.
Offerte: U ontvangt van ons binnen maximaal 5 werkdagen een voorstel.
Pre-engagement: Tijdens het pre-engagement interview regelen we de vrijwaring(en) en gaan we wat dieper in of er eventueel applicaties zijn die meer aandacht nodig hebben, er fragiele systemen zijn waar wij rekening mee moeten houden en of er afhankelijkheden zijn met externe leveranciers waar wij van op de hoogte moeten zijn.
Start onderzoek: Zodra er voldoende informatie beschikbaar is en de scope bepaald is starten wij het onderzoek.
Rapport: Na afloop van de audit ontvangt u binnen 5 werkdagen een management samenvatting in het Nederlands of Engels en leveren wij bij voorkeur de technische data op als actionable data in ons projectmanagement platform. De data is toegankelijk voor u zelf en indien gewenst voor de IT-leverancier of derde partij naar keuze (dit maakt een effectieve samenwerking mogelijk tussen ons en andere partijen).
Post-engagement: Tijdens de post-engagement (eindgesprek) lichten we de gevonden punten door en beantwoorden eventuele vragen.

Is er ook een brochure beschikbaar?

Download hier de brochure over een pentest.