>>

Pentest of penetratietest

Je hebt het je vast weleens afgevraagd: zou het een hacker lukken om toegang te krijgen tot ons kantoornetwerk? Of tot een van onze (web)applicaties? En als de hacker eenmaal binnen is, wat kan hij of zij dan allemaal? Een pentest geeft de antwoorden op deze vragen. Er zijn verschillende soorten pentests, de beste oplossing is helemaal afhankelijk van de vraag van de klant. Wij kunnen hierin altijd helpen.

Wat is een pentest?

Een pentest (of penetration test) is een onderzoek waarbij waarbij een security specialist met een ‘hacker mindset’ alle mogelijke middelen en beschikbare informatie gebruikt om te ontdekken hoever een hacker kan binnendringen in een systeem. Ook wordt gekeken wat de mogelijke impact is van deze aanvallen. Een pentest is time-boxed, wat betekent dat het binnen een afgebakende tijd wordt uitgevoerd.

security tests Pentest

Wat doen we bij een pentest?

Onze ethische hackers beginnen met het in kaart brengen van je systemen en het zogeheten "aanvalsoppervlak". Vervolgens richten ze zich op onderdelen die er interessant of kansrijk uitzien, en proberen hierin binnen te dringen. Hiervoor maken ze gebruik van een combinatie van reeds bekende kwetsbaarheden en kwetsbaarheden die ze ter plekke ontdekken, en van bestaande tools gecombineerd met zelfgebouwde oplossingen. Lukt dit, dan gaan ze na welke gevoelige informatie en toegang aanwezig is, en proberen ze verder binnen te dringen. Lukt dit niet, dan richten ze zich op het volgende systeem dat er interessant uitziet.

Op deze manier simuleren ze de werkwijze van een hacker met kwade intenties, en maken ze duidelijk wat de impact kan zijn van een hack.

Wat krijg je na een pentest?

Het resultaat van een pentest bespreken we in een persoonlijk gesprek. De Computest hacker maakt een security rapport en overhandigt dit aan de klant. Tijdens het gesprek komen de mogelijke kwetsbare punten aan de orde en worden zonodig vervolgstappen besproken waarmee je je organisatie beter kunt beveiligen. Indien de hacker tegen grote kwetsbaarheden aanloopt, zullen deze uiteraard al direct worden gedeeld met de klant.

Verschillende soorten security- of pentests?

De grote diversiteit aan terminologie binnen het security domein is verwarrend voor veel mensen. Veel termen overlappen elkaar en veel termen worden op andere wijze gebruikt of ingezet. Zelfs een pentest lijkt bij iedere leverancier iets anders te betekenen. Daarbij komen er nog alle standaarden waar je uit kunt kiezen en alle certificeringen. Wij merken dat veel organisaties die starten met security testen stoeien met deze uitdaging. Daarom schreven wij een blog met een aantal tips voor dit vraagstuk; Red, blue of purple teams en pen-, security-, vulnerability- of hacker-test?

Is een pentest het juiste middel voor jouw doel?

Omdat een pentest zich voornamelijk richt op het binnendringen van systemen is het belangrijk vooraf goed te bepalen of dit ook het gewenste doel is van het onderzoek. Als je namelijk een volledig beeld wil krijgen van alle mogelijk te misbruiken kwetsbaarheden in je systemen, is een vulnerability assessment eigenlijk een beter passende oplossing. Dit geeft ook je ontwikkelaars meer concrete handvatten voor het beveiligen van specifieke applicaties. Maar wil je een indruk van hoe je security ervoor staat en wat mogelijke impact van een hack kan zijn, dan is een pentest juist een goed middel.

Direct contact?

Interesse in een pentest of wil je eerst meer informatie? Bel of mail direct: