Penetratietest

Een Penetratietest, ook wel een pentest, is een uitgebreid IT-Security onderzoek met een focus op het achterhalen van kwetsbaarheden in uw IT-architectuur. Hierbij kan het gaan om een enkele applicatie, of een gehele omgeving. Samen met u bepalen wij waar de ‘kroonjuwelen’ van uw organisatie zich bevinden. Omdat hackers hier ook naar op zoek zullen gaan, is het van groot belang dat dit goed beveiligd is. Zodoende bepalen we samen met u de ‘scope’ van het onderzoek.

Onze cybersecurity-experts beginnen vervolgens het onderzoek op de datum die wij overeengekomen zijn. Hoe lang dit duurt is volledig afhankelijk van de grootte van de scope. Normaliter beginnen wij de test vanuit het zogenaamde ‘blackbox’ perspectief. Hierbij onderzoeken wij wat er mogelijk is zonder enige voorkennis of inloggegevens. Met andere woorden, kunnen wij vanaf de buitenkant op op enigerlei wijze schade aanbrengen en hiermee uw online-veiligheid bedreigen?

De volgende stap in het onderzoek is het greybox onderzoek. Hierbij zetten wij met beperkte kennis, vaak in de vorm van inloggegevens, ons onderzoek voort. Zodoende kunnen wij onderzoeken welke potentiële schade een gebruiker (of een kwaadaardig persoon met toegang) kan aanrichten. Tijdens deze fase van de test brengen onze onderzoekers diverse aanvalspaden in kaart.Hierbij gaan wij veel verder dan enkel het runnen van wat tools.

Dit is naar onze mening namelijk geen pentest. Onze onderzoekers hebben jarenlange IT-security ervaring die ze graag inzetten bij het uitvoeren van een penetratietest, dit zorgt ervoor dat elk onderzoek uniek is. Hierbij gebruiken zij technieken, zoals SQL-inejcties of Cross Site Scripting (XSS) zoals een kwaadaardige hacker dat ook zou doen. Deze aanpak zorgt ervoor dat de uiteindelijke rapportage ook veel meer is dan enkel een lijstje met kwetsbaarheden.

Onze rapportages zijn helder, technisch sterk en bieden reële handvatten voor de klant om echt stappen te zetten naar een (nog) veiligere omgeving. Omdat de materie van zo’n rapportage best technisch kan zijn, zien wij ook vaak hele zware rapportages die als eindproduct worden afgeleverd. Hier is in onze optiek niemand mee geholpen. Daarom schrijven wij onze rapportage op zo’n manier dat iedereen de inhoud kan begrijpen, ongeacht IT-kennis.

Omdat er bij een dergelijk onderzoek meerdere interne partijen een belang hebben, is onze rapportage opgedeeld in twee delen.

1. Een gedeelte voor het Management. Hier treft u onder andere de managementsamenvatting en de conclusie. Hier vatten we in een A4’tje samen wat er gevonden is en wat dit betekent voor de organisatie.

2. Een Technisch gedeelte. Naast alle bevindingen met aanbevelingen en Proof of Concept, treft u hier ook de Attack Tree. Een hoofdstuk waarbij we middels een helicopterview diverse aanvalspaden schetsen.

Uiteraard treft u in het technische gedeelte van de rapportage elke bevinding waarbij minimaal de OWASP top 10 wordt onderzocht. Elke kwetsbaarheid gaat gepaard met een risicoclassificering (CVSS), de waarschijnlijkheid, het risico en de impact met tot slot een aanbeveling. Deze aanbeveling is dermate uitgebreid, en vaak compleet met snelkoppelingen naar handleidingen, dat uw technische afdeling of IT-beheer partij er meteen mee aan de slag kan.

Omdat wij begrijpen dat een dergelijke rapportage langs vele bureaus moet, nemen wij graag uw aanbevelingen en feedback aan. Zo komen we samen tot een rapportage die niet alleen handvatten biedt ter verbetering van de cyberweerbaarheid maar ook intern niet in een lade verdwijnt. In het geval u interesse heeft in een penetratietest en benieuwd bent hoe onze rapportage eruit ziet, laten wij u dit graag zien tijdens een kort gesprek. Hiervoor kunt u altijd contact met ons opnemen.