Waarom een Pentest?

Steeds meer bedrijven willen een pentest, maar waarom eigenlijk?

De meeste bedrijven denken dat ze AVG/GDPR compliant zijn wanneer hun systemen een pentest hebben doorstaan. Echter is dit niet het geval. Een pentest is slechts een momentopname. Bij een pentest probeert een ethische hacker in te breken in de te testen IT-omgeving. Hierbij worden belangrijke system gecontroleerd op kwetsbaarheden voor aanvallen. Met deze informatie kan een organisatie zijn security naar een hoger niveau tillen.

Motieven van een hacker

Een hacker kan verschillende motieven hebben voor een aanval. Daarom is het belangrijk om te weten wat de belangrijkste systemen zijn en waar de aanvallen vandaan kunnen komen. Bij het ene bedrijf is dit een webshop, bij de ander “Internet of Things” apparaten, of concurrentiegevoelige informatie die door een hacker kan worden doorverkocht. Zo kan u rekening houden verschillende scenario’s.

Een aantal motieven die een hacker kan hebben zijn:
● Verstoring van de business continuïteit
● Stelen van informatie voor verkoop of hun voordeel er mee te doen
● Manipuleren van data (bijvoorbeeld prijzen aanpassen van webshops)
● Reputatie schade aanbrengen
● Wraak nemen.

Manieren om informatie te verschaffen

Binnen het pentest vak zijn er nogal verschillende soorten manieren hoe iemand informatie kan verschaffen. Een aantal technieken zijn:

● Netwerken intern en extern aanvallen
● Social engineering
● Wireless aanvallen
● Websites aanvallen
● Mobiel aanvallen
● Internet of Things aanvallen
● Virus en Ransomware aanvallen
● Cloud Computing aanvallen

Al deze manieren van informatie verschaffen kunnen worden gesimuleerd binnen een pentest.

Soorten pentesten

De ene pentest is de andere niet. Binnen het begrip pentesten zijn een aantal grote  verschillen. Om te zorgen dat u weet welke pentest het beste past bij de doelstelling van uw  organisatie hebben we hieronder de verschillende testen uitgelegd.   

Vulnerability assessment
Met een vulnerability assessment ontdekt u de kwetsbaarheden binnen de scope van de opdracht, maar geeft geen indicatie of de kwetsbaarheden ook uitgebuit kunnen worden. Dit Assessment wordt vaak gebruikt om inzicht te krijgen in de staat van de beveiligingsaspecten binnen een organisatie. Echter  beperkt een vulnerability assessment zich tot bekende beveiligingsfouten omdat dit een geautomatiseerde  procedure betreft. U krijgt hiermee dus geen inzicht in nog onbekende beveiligingsfouten.

Blackbox testen
Bij een blackbox test krijgt de pentester alleen de naam van het bedrijf. Hierdoor zal de ethische hacker alle informatie die hij of zij nodig heeft zelf moeten achterhalen. Zo wordt een situatie gesimuleerd  van niet-geïnformeerde hacker. Met alle verzamelde informatie gaat de hacker proberen de systemen van  uw bedrijf te vinden en daar een aanval op uit te oefenen. Deze test wordt niet vaak uitgevoerd omdat dit een arbeidsintensieve klus is die vaak hoge kosten met zich mee brengt. Door de beperkingen van  budget en tijd is deze test vooral nuttig om een algemeen beeld van de status van uw beveiliging te krijgen.

Greybox testen
Bij een Greybox test krijgt de pentester een gedeelte van de informatie van uw bedrijf. Bij deze test hoeft de pentester niet alles zelf uit te zoeken en zal eerder tot de daadwerkelijk gesimuleerde  aanval overgaan en de systemen uitvoerig te testen. Zo kan een situatie worden gesimuleerd van iemand  die meer voorkennis heeft over uw organisatie zoals een klant of medewerker.

Whitebox testen
Bij whitebox testen krijgt de pentester veel informatie van de systemen en het netwerk. Als de  pentester informatie heeft over het te testen systeem kan die kijken of er mogelijkheden bestaan om binnen te komen zonder alle informatie zelf op te zoeken. Alle systemen onderzoeken zou echter  teveel tijd vergen. Daarom is het belangrijk om bij een whitebox test de scope duidelijk af te spreken. Dit  maakt het testen een stuk sneller en brengt minder kosten met zich mee.

Greybox en Whitebox testen wordt over het meeste uitgevoerd. Dit omdat ervan uitgegaan kan worden  dat een echte hacker die een doel nastreeft vroeg of laat toch achter de juiste informatie komt. Er zijn  hackers die hier een dagtaak aan hebben daarnaast bestaan er hacker groeperingen die gezamenlijk  aanvallen uitvoeren en de informatie die ze hebben delen met elkaar. Wilt u dus een goed beeld krijgen  van de status van uw beveiliging binnen een realistische scenario, dan is een white- of greybox test de  beste keuze. 

Pentesting met KMC Solutions

Wilt u inzicht krijgen in vulnerabilities bij uw organisatie? Maak dan een afspraak met KMC Solutions voor  een vulnerability assessment. In het eerste assessment focussen we op vitale onderdelen van uw core  business, waar u het meest kwetsbaar bent. Denk hierbij aan een webserver of webshop. Zo krijgt u direct  inzicht in kwetsbaarheden waar dit het meest telt. Op basis van deze resultaten kunnen we andere  onderdelen aanpakken of een pentest uitvoeren voor compleet beeld van de status van uw IT security.    

Heeft u interesse? Neem dan contact op met KMC Solutions via info@kmcsolutions.nl​​ of bel 010 44  666 70.