Steeds meer bedrijven vragen om een kwetsbaarheid test ook wel pentest genoemd. Maar waarom willen wij dit eigenlijk?
Veel bedrijven denken dat als hun systeem een kwetsbaarheden test heeft ondergaan dat ze AVG/GDPR compliant zijn. Dit is echter niet het geval, het is een moment opname. Een pentest wordt over het algemeen uitgevoerd om te controleren of de belangrijkste systemen kwetsbaar zijn voor aanvallen. (Intern/Extern).
Daarom is het belangrijk om te weten wat de belangrijkste systemen zijn en waar de aanvallen vandaan komen. Voor het ene bedrijf zal dat bijvoorbeeld een webshop zijn maar voor een ander bedrijf zijn dat de “Internet of Things†apparaten, en voor weer een ander bedrijf is het de informatie die een hacker kan verkrijgen en kan door verkopen aan een concurrerend bedrijf.
Het is essentieel om zelf na te denken wat voor je bedrijf belangrijk is als kwaadwillenden informatie of toegang verschaffen tot jou informatie of systemen. Een aantal motieven die een kwaadwillend persoon kan hebben zijn:
Binnen het vak kwetsvaarheden testen zijn er verschillende manieren hoe iemand informatie kan verschaffen. Een aantal technieken zijn:
- Netwerk aanvallen intern en extern
- Social engineering
- Wireless aanvallen
- Websites aanvallen
- Mobiel aanvallen
- Internet of Things aanvallen
- Virus en Ransomware aanvallen
- Cloudcomputing aanvallen
Om te weten waar je als bedrijf kan beginnen zijn er een aantal testen die hieronder worden uitgelegd.
Vulnerability assessment
Ontdekt de kwetsbaarheden binnen de scope van de opdracht, maar geeft GEEN indicatie of de kwetsbaarheden ook uitgebuit kunnen worden. Dit Assessment wordt vaak gebruikt om inzicht te krijgen hoe het is gesteld met de beveiligingsaspecten binnen het bedrijf.
Blackbox testen
Bij een blackbox test krijgt de tester alleen de naam van het bedrijf. Deze test wordt niet vaak uitgevoerd omdat dit een arbeidsintensieve klus is die vaak hoge kosten met zich mee brengt.
Greybox testen
Bij een Greybox test krijgt de pen tester een gedeelte van de informatie van je bedrijf. Bij deze test hoeft de tester niet alles zelf uit te zoeken en zal eerder tot de daadwerkelijk gesimuleerde aanval overgaan en de systemen uitvoerig te testen.
Whitebox testen
Het gaat meestal om Greybox of Whitebox testen.
Een hacker streeft een doel na en komt vroeg of laat achter de juiste informatie. Er zijn hackers die hier een dagtaak aan hebben en er zijn hackergroeperingen die gezamenlijk aanvallen uitvoeren en informatie met elkaar delen.
Plan hier een vrijblijvende afspraak in.