- Verwachte startdatum
- 1 - 2 weken
Een penetratietest is een technische test op digitale kwetsbaarheden in bijvoorbeeld een webapplicatie of binnen een kantooromgeving.
Er wordt getest of een applicatie of kantooromgeving digitale kwetsbaarheden bevat waar een aanvaller mogelijk misbruik van kan maken.
De vragen die door een pentester (ethisch hacker) beantwoord worden zijn bijvoorbeeld: “Waar zitten de zwakke punten in de verdediging en wat kan een aanvaller daarmee bereiken?”
Een penetratietest begint met een duidelijke beveiligingsvraag en een testplan waarin opgenomen wordt wat precies wordt getest, wanneer wordt getest, hoe het proces verloopt en wat aan het einde van de penetratietest wordt opgeleverd. Bij een goede penetratietest is het hele proces duidelijk en overzichtelijk.
Op technische wijze gaat een pentester methodisch onderzoeken welke kwetsbaarheden mogelijk aanwezig zijn in de webapplicatie of in de kantooromgeving. De pentester probeert zo goed als mogelijk om alle kwetsbaarheden in kaart te brengen binnen de beschikbare tijd. Dit kan deels door middel van geautomatiseerde scans, maar grotendeels vinden er handmatige testen plaats op basis van ervaring en inzicht. Hoe beter en meer ervaren de pentester is, hoe meer kwetsbaarheden de pentester waarschijnlijk vindt.
Na onze penetratietest wordt een duidelijk overzicht opgeleverd van de aangetroffen kwetsbaarheden en ontstaat daarmee een goed beeld van de digitale veiligheid.
Voordat je een penetratietest laat uitvoeren is het belangrijk om een duidelijk doel te hebben en goed na te denken over de securityvraag.
De pentester dient goed te begrijpen wat het doel van de penetratietest is, om de opdracht naar verwachting te kunnen uitvoeren.
Bijvoorbeeld: ‘Het doel van de penetratietest is het in kaart brengen van zoveel mogelijk digitale kwetsbaarheden’. Een voorbeeld van een securityvraag kan zijn: “Welke digitale kwetsbaarheden zitten er in deze webapplicatie?” Of een heel ander voorbeeld: “Op welke manier kan een aanvaller met toegang tot ons netwerk zijn rechten verhogen tot die van Domain Administrator?”.
Er zijn diverse soorten pentesten. Vaak wordt er gesproken over: Black-box, Grey-box en White-box.
Black-box
De pentester krijgt geen informatie of toegang tot de webapplicatie/omgeving. Dit lijkt op het scenario van een aanvaller die ook geen informatie of toegang tot het systeem heeft.
Grey-box
De pentester krijgt extra informatie over het systeem of inloggegevens van accounts. Op die manier kan er vanuit een geauthenticeerde positie getest worden. Dit lijkt op het scenario dat een aanvaller inloggegevens bemachtigd heeft of op het handelen vanuit een medewerker.
Dit type vergroot de kans dat er kwetsbaarheden gevonden worden en het bespaart veel tijd, omdat ‘toegang’ niet door de penterster zelf verkregen hoeft te worden
Scope
Voorafgaand aan de penetratietest is het afspreken van een ‘scope’ belangrijk. Welke digitale omgevingen mogen getest worden en welke omgevingen juist niet. Een scope kan zich richten op een domein, subdomein, of een IP-adres.
Daarnaast is het ook mogelijk om bepaalde activiteiten van een pentester juist ‘out-of-scope’ te bestempelen. Denk aan afspraken over ‘phishing’ of het draaien van bepaalde ‘exploits’ op productiesystemen.
De bovenstaande onderwerpen (en meer!) zijn onderdeel van een testplan, die voor de penetratietest afgestemd wordt met elkaar. Met een testplan wordt voor iedereen helder wat er wel, en wat er juist niet, gaat gebeuren.
Uiteindelijk is het product van een penetratietest een goed geschreven rapport, met een duidelijke samenvatting, opbouw, overzicht van de kwetsbaarheden en eventueel een conclusie over de geteste omgeving of applicatie. Per kwetsbaarheid dient in begrijpelijke taal opgeschreven te worden: wat er gevonden is en hoe of waar de kwetsbaarheid gevonden is. Ook dient er beschreven te worden wat de security-impact en het risico van een kwetsbaarheid is en hoe de kwetsbaarheid gemitigeerd kan worden.
€5.900,00
Bij The Cyber Partners begrijpen we dat het een uitdaging is om je bedrijf effectief te beveiligen. Het vinden van de juiste balans tussen het beperken van risico’s zonder overmatige investeringen is geen eenvoudige opgave.
Daarom hebben we The Cyber Partners opgericht, met de missie om bedrijven te helpen zich optimaal te beschermen tegen de snel veranderende digitale dreigingen.
Gebruik dit portal om te zoeken én te vinden wat je nodig hebt voor een optimale bescherming.
Deze website maakt gebruik van cookies om ervoor te zorgen dat u de beste ervaring krijgt op onze website. Bekijk Privacyverklaring
Beoordelingen
Er zijn nog geen beoordelingen.
Enkel ingelogde klanten die dit product gekocht hebben, kunnen een beoordeling schrijven.