Hoe werkt het?
Het kenmerk van een penetratietest – ook wel pentest genoemd - is dat gecontroleerd wordt of kwetsbaarheden in systemen ook werkelijk kunnen worden gebruikt om in te breken. Hierbij bootst een gecertificeerde ethisch hacker aanvalssituaties na: zonder specifieke kennis van de systemen probeert hij of zij toegang te verkrijgen of kwetsbaarheden te misbruiken.Een ethisch hacker is een computerspecialist die beveiligingssystemen en netwerken hackt zonder kwade bedoelingen, maar als test. Het zijn de `good guys` van het internet.
De Pentest is gebaseerd op een binnen het vakgebied breed geaccepteerde werkwijze. Afhankelijk van de scope van de opdracht betekent dit dat het volgende proces wordt gevolgd:
Informatievergaring:Met minimale kennis van de systemen wordt onderzocht wat een mogelijke kwaadwillende zonder speciale toegangsrechten of apart account aan informatie kan vergaren over de te testen omgeving. Deze informatie vormt de basis voor de volgende stappen van de test.
KwetsbaarhedenscanMet ThreadScan, het unieke platform van ThreadStone Cyber Security, onderzoekt de ethisch hacker welke kwetsbaarheden er in de infrastructuur of de applicatie aanwezig zijn. Naast ThreadScan worden ook andere tooling ingezet om kwetsbaarheden te detecteren. De scanresultaten geven een beeld van aanwezige kwetsbaarheden en vormen de input voor het black-box en/of grey-box testen.
Black-box testMet de in de eerste twee stappen verkregen kennis onderzoekt de ethisch hacker de omgeving op kwetsbaarheden. Hij of zij heeft geen speciale gebruikersrechten: het aanvalsscenario is dat van een kwaadwillende buitenstaander die via het internet toegang verkrijgt tot de omgeving.
Grey-box testMet de kennis verkregen tijdens de eerdere fasen én met accountgegevens verstrekt door de opdrachtgever gaat de ethish hacker op zoek naar kwetsbaarheden binnen het systeem. Hierbij wordt een scenario nagebootst van kwaadwillende die de beschikking heeft over normale gebruikersrechten van de applicatie.
Tijdens de Pentest worden alle gebruikte commando’s en werkwijzen bijgehouden. Deze informatie vormt de basis van de rapportage en zorgt voor een reproduceerbaar en controleerbaar proces.
Beschikbare tijd
Tijd is tijdens elke technische penetratietest een belangrijke factor. Zeker bij complexe omgevingen is het niet mogelijk om in een beperkte tijd een hoge mate van diepgang te creëren. Het is daarom belangrijk om bij de beoordeling van testresultaten de besteedde tijd in acht te nemen. Over het algemeen kan worden gesteld dat meer testtijd meer resultaten oplevert.
Betrekken van uw IT’er(s)
We adviseren altijd om uw vaste IT’er(s) te betrekken bij een Pentest. Ons doel is om de huidige stand van de beveiliging van uw systemen in kaart te brengen én om gezamenlijk met u en uw IT’er(s) tot verbetering te komen. Zo zorgen we er allemaal voor – u als eindklant, uw IT’er(s) en ThreadStone – dat uw organisatie weerbaarder wordt. Om uw IT’er(s), een onmisbare schakel, eenvoudig in dit traject te betrekken, hebben we een voorbeeldmail opgesteld die u hiervoor kunt gebruiken.
Inzicht in en geheimhouding van data
Tijdens de Pentest kunnen onze ethisch hackers in aanraking komen met uw gegevens. Meestal gebeurt dit pas als er kwetsbaarheden zijn geconstateerd die nader worden onderzocht op de mogelijkheid van misbruik. Een geheimhoudingsverklaring en vrijwaring zijn altijd onderdeel van onze samenwerkingsovereenkomst. Zo waarborgen wij te allen tijde de vertrouwelijkheid.
ThreadStone helpt!
