CCV-Keurmerk gecertificeerde Penetratietest

Een penetratietest is een technische test op digitale kwetsbaarheden in bijvoorbeeld een webapplicatie of binnen een kantooromgeving.

Er wordt getest of een applicatie of kantooromgeving digitale kwetsbaarheden bevat waar een aanvaller mogelijk misbruik van kan maken.

De vragen die door een pentester (ethisch hacker) beantwoord worden zijn bijvoorbeeld: “Waar zitten de zwakke punten in de verdediging en wat kan een aanvaller daarmee bereiken?”

Een penetratietest begint met een duidelijke beveiligingsvraag en een testplan waarin opgenomen wordt wat precies wordt getest, wanneer wordt getest, hoe het proces verloopt en wat aan het einde van de penetratietest wordt opgeleverd. Bij een goede penetratietest is het hele proces duidelijk en overzichtelijk.

Op technische wijze gaat een pentester methodisch onderzoeken welke kwetsbaarheden mogelijk aanwezig zijn in de webapplicatie of in de kantooromgeving. De pentester probeert zo goed als mogelijk om alle kwetsbaarheden in kaart te brengen binnen de beschikbare tijd. Dit kan deels door middel van geautomatiseerde scans, maar grotendeels vinden er handmatige testen plaats op basis van ervaring en inzicht. Hoe beter en meer ervaren de pentester is, hoe meer kwetsbaarheden de pentester waarschijnlijk vindt.

Na onze penetratietest wordt een duidelijk overzicht opgeleverd van de aangetroffen kwetsbaarheden en ontstaat daarmee een goed beeld van de digitale veiligheid.

Voordat je een penetratietest laat uitvoeren is het belangrijk om een duidelijk doel te hebben en goed na te denken over de securityvraag.

De pentester dient goed te begrijpen wat het doel van de penetratietest is, om de opdracht naar verwachting te kunnen uitvoeren.

Bijvoorbeeld: ‘Het doel van de penetratietest is het in kaart brengen van zoveel mogelijk digitale kwetsbaarheden’. Een voorbeeld van een securityvraag kan zijn: “Welke digitale kwetsbaarheden zitten er in deze webapplicatie?” Of een heel ander voorbeeld: “Op welke manier kan een aanvaller met toegang tot ons netwerk zijn rechten verhogen tot die van Domain Administrator?”.

Er zijn diverse soorten pentesten. Vaak wordt er gesproken over: Black-box, Grey-box en White-box.

Black-box

De pentester krijgt geen informatie of toegang tot de webapplicatie/omgeving. Dit lijkt op het scenario van een aanvaller die ook geen informatie of toegang tot het systeem heeft.

Grey-box

De pentester krijgt extra informatie over het systeem of inloggegevens van accounts. Op die manier kan er vanuit een geauthenticeerde positie getest worden. Dit lijkt op het scenario dat een aanvaller inloggegevens bemachtigd heeft of op het handelen vanuit een medewerker.

Dit type vergroot de kans dat er kwetsbaarheden gevonden worden en het bespaart veel tijd, omdat ‘toegang’ niet door de penterster zelf verkregen hoeft te worden

Scope

Voorafgaand aan de penetratietest is het afspreken van een ‘scope’ belangrijk. Welke digitale omgevingen mogen getest worden en welke omgevingen juist niet. Een scope kan zich richten op een domein, subdomein, of een IP-adres.

Daarnaast is het ook mogelijk om bepaalde activiteiten van een pentester juist ‘out-of-scope’ te bestempelen. Denk aan afspraken over ‘phishing’ of het draaien van bepaalde ‘exploits’ op productiesystemen.

De bovenstaande onderwerpen (en meer!) zijn onderdeel van een testplan, die voor de penetratietest afgestemd wordt met elkaar. Met een testplan wordt voor iedereen helder wat er wel, en wat er juist niet, gaat gebeuren.

Uiteindelijk is het product van een penetratietest een goed geschreven rapport, met een duidelijke samenvatting, opbouw, overzicht van de kwetsbaarheden en eventueel een conclusie over de geteste omgeving of applicatie. Per kwetsbaarheid dient in begrijpelijke taal opgeschreven te worden: wat er gevonden is en hoe of waar de kwetsbaarheid gevonden is. Ook dient er beschreven te worden wat de security-impact en het risico van een kwetsbaarheid is en hoe de kwetsbaarheid gemitigeerd kan worden.