Externe pentest

In kwartaal 3 volgt dan de derde penetratietest. Meestal wordt hier geopteerd voor een externe penetratie test.

Daar gaan we een scenario simuleren waarbij we onszelf in de schoenen van een echte hacker gaan plaatsen die geen voorkennis heeft van jullie bedrijf, diensten, netwerk e.d.

Deze gesimuleerde aanval kan van overal ter wereld uitgevoerd worden. Hierbij gaan we gebruik maken van een aantal open source tools (gratis te vinden) om te tonen wat iedereen kan vinden over jullie bedrijf. Ook gaan we gebruik maken van een aantal geautomatiseerde scanningtools die een controle uitvoeren op de meest voorkomende kwetsbaarheden.

Verder worden ook nog manuele checks gedaan door onze expert binnen ons bedrijf. Met onze websitescanning controleren we alvast op zwakheden via een volledig geautomatiseerde procedure. Daardoor wordt dit uiteraard beperkt tot alle alreeds bekende beveiligingsfouten.

Een pentest gaat veel verder. Pentesters zoeken handmatig en geautomatiseerd op een zo breed mogelijke manier naar zwakheden in de IT-omgeving. We kijken steeds naar onze ingecalculeerde tijd, budget en scope van de opdracht. Onze expert gebruikt hierbij creatieve aanvalstechnieken, methoden en tooling.

Op deze manier leveren we inzichten op waarmee een organisatie de security kan versterken. Dat kan in allerlei gevallen nuttig zijn. Zo kan onze pentest de zwakheden van een nieuwe server of website in kaart brengen. In andere gevallen kan het waardevol zijn om het algehele securityniveau van de organisatie in kaart te brengen.

Pentesten zijn over het algemeen zinvol voor organisaties die sterk afhankelijk zijn van een goede beschikbaarheid van hun IT-systemen of over waardevolle gegevens beschikken waarbij de integriteit en vertrouwelijkheid van groot belang is.

Voor onze externe pentest gebruiken we steeds een black box pentest. Bij een black box-pentest krijgt onze ethical hacker vooraf geen enkele informatie over de IT-infrastructuur. Wél spreken we op voorhand een scope af om een volledig onderzoek te garanderen.

Onze pentester simuleert hierbij als het ware de mindset van een opportunistische, niet-geïnformeerde hacker.

De duur van onze pentest is geheel afhankelijk van het beoogde doel, de gekozen methode en het beschikbare budget. Meestal werken we met een timeboxed pentest (de pentest vindt plaats binnen een afgesproken maximale tijdsduur. Binnen de beschikbaar gestelde tijd worden zoveel mogelijk kwetsbaarheden in kaart gebracht) die we berekenen op een 4u. Indien gewenst kunnen we hier uiteraard steeds van afwijken.

Voor onze pentest beginnen we steeds met een intakegesprek met onze pentester. Hier vindt naast een algemene kennismaking overleg plaats over onder andere de scope van de test, de methode van aanpak, het beschikbare budget en het tijdsbestek waarin de pentest plaatsvindt. Vervolgens vindt de daadwerkelijke pentest plaats.

Het aantonen van de impact van een kwetsbaarheid maakt het voor een klant mogelijk in te schatten welke kwetsbaarheden voor zijn of haar organisatie de grootste gevolgen heeft en daardoor prioriteit verdient. Wanneer onze expert zwakheden bij een externe partij ontdekt, dan wordt deze partij ingelicht zodat zij maatregelen kunnen nemen. Dat verhoogt uiteindelijk ook jouw securityniveau.

Na de uitvoering stelt onze expert een rapportage op met daarin de bevindingen, conclusies en aanbevelingen. Het rapport bestaat uit een management letter met daarin de belangrijkste conclusies en aanbevelingen, en uit een uitvoeriger technisch gedeelte.

Alle rapporten van iedere afzonderlijke pentest worden versleuteld bewaard in een zogeheten ‘cryptocontainer’, zodat ze veilig zijn afgeschermd voor de buitenwereld. Daarnaast geven we een presentatie op de kwartaalmeeting, zodat samen gezocht kan worden naar de meest veilige oplossing voor bepaalde situaties.