Fysieke pentest

In kwartaal 1 volgt dan de eerste penetratietest. Meestal wordt hier geopteerd voor een fysieke penetratie test.

Met onze fysieke pentest kunnen we zien hoe goed geïnformeerd het personeel is omtrent de cyberveiligheid binnen het bedrijf.

Het doel is om een fysieke beveiligingsaanval realistisch te simuleren. Op deze manier kunnen onze getrainde indringers veiligheidslekken binnen uw organisatie zichtbaar maken voor u en uw personeel.

Op een effectieve manier wordt er een grondige pentest uitgevoerd door onze ervaren beveiligingsexperts. Zij proberen zo snel mogelijk toegang te krijgen tot essentiële of bedrijfsgevoelige informatie.

Zonder dat u het merkt, kunnen derden eenvoudig toegang krijgen tot uw data en processen. Het is daarom van cruciaal belang dat iedere organisatie regelmatig de weerbaarheid of het beveiligingsniveau onderzoekt.

Wie heeft toegang tot de belangrijkste data en processen? Hoe veilig is uw organisatie? Wat is het worst-case scenario? Vrijwel iedere organisatie heeft te maken met zwakke schakels in de beveiliging. Wij laten u en uw medewerkers zien dat bepaalde kwetsbaarheden kunnen leiden tot blijvende schade aan uw bedrijfsprocessen.

Dit kan gaan dat we via telefoon enkele vragen stellen en kijken hoeveel informatie we kunnen verkrijgen langs deze weg. Maar ook komen we effectief op de werkvloer om te kijken hoe men reageert op bepaalde situaties. Zoals het aannemen van een pakketje van de Bpost-koerier bijvoorbeeld. Hier wordt iemand voor langs gestuurd om deze situaties te bekijken en te proberen misbruiken.

De duur van onze pentest is geheel afhankelijk van het beoogde doel, de gekozen methode en het beschikbare budget. Meestal werken we met een timeboxed pentest (de pentest vindt plaats binnen een afgesproken maximale tijdsduur. Binnen de beschikbaar gestelde tijd worden zoveel mogelijk kwetsbaarheden in kaart gebracht) die we berekenen op een 8u. Indien gewenst kunnen we hier uiteraard steeds van afwijken.

Voor onze pentest beginnen we steeds met een intakegesprek met onze pentester. Hier vindt naast een algemene kennismaking overleg plaats over onder andere de scope van de test, de methode van aanpak, het beschikbare budget en het tijdsbestek waarin de pentest plaatsvindt. Vervolgens vindt de daadwerkelijke pentest plaats.

Het aantonen van de impact van een kwetsbaarheid maakt het voor een klant mogelijk in te schatten welke kwetsbaarheden voor zijn of haar organisatie de grootste gevolgen heeft en daardoor prioriteit verdient. Wanneer onze expert zwakheden bij een externe partij ontdekt, dan wordt deze partij ingelicht zodat zij maatregelen kunnen nemen. Dat verhoogt uiteindelijk ook jouw securityniveau.

Na de uitvoering stelt onze expert een rapportage op met daarin de bevindingen, conclusies en aanbevelingen. Alsook alle externe pijnpunten van jouw organisatie via een management letter.

Alle rapporten van iedere afzonderlijke pentest worden versleuteld bewaard in een zogeheten ‘cryptocontainer’, zodat ze veilig zijn afgeschermd voor de buitenwereld. Daarnaast geven we een presentatie op de kwartaalmeeting, zodat samen gezocht kan worden naar de meest veilige oplossing voor bepaalde situaties.

Interne beveiligingsanalyse

De interne beveiligingsanalyse wordt steeds gehouden in het eerste kwartaal na de externe pentest.

Dit houdt in dat er een expert van ons bedrijf op de werkvloer komt om samen met jullie verantwoordelijke op vlak van interne beveiliging alles te bekijken op welke punten er verbeterd kan worden om de beveiliging zo hoog mogelijk te houden.

Hier wordt een hele checklist afgegaan die grondig word gecontroleerd. Ook wordt veel gebruik gemaakt van de ervaring van onze expert om uit ervaring bepaalde punten te zien wat velen over het oog zien.

Deze checklist wordt nadien doorgestuurd naar de verantwoordelijke in jullie bedrijf en kan, indien gewenst, steeds overlopen worden op onze kwartaalmeeting.

Enkele punten die gecontroleerd worden zijn:

  • Toegangspunten
  • Dekkingsgebied camera’s
  • Risico’s voor natuurrampen
  • Door de mens veroorzaakte rampenrisico’s
  • Bescherming tegen externe en omgevingsbedreigingen
  • Dumpster diving
  • Onderhoud faciliteiten
  • Luiken en ventilatieopeningen
  • Deuren
  • Toegangspunten (deuren, poorten, tourniquets, ramen, dokken, liften, trappenhuizen,…)
  • Kantoren, kamers en faciliteiten met beperkte toegang
  • Geschiktheid van cameradekking
  • Alarmtypes
  • Toegangsbadge
  • Verwijderen van toegangsrechten
  • Bezoekers