Interne pentest
In het vierde kwartaal volgt dan de vierde penetratietest. Meestal wordt hier geopteerd voor een interne penetratie test.
Hierbij gaan we uit van een scenario waarbij een hacker effectief alreeds toegang heeft tot het bedrijfssysteem. Bijvoorbeeld via een phishing mail of virus. Dat ze zo zijn binnengeraakt.
Dan gaan we kijken wat een hacker kan doen met een low level account. Dus een account zonder rechten. Wij zullen op verschillende manieren proberen om dit account op te waarderen tot administrator om zo gevoelige informatie te verkrijgen. Een adminaccount kan een account toevoegen zodat hij permanent toegang krijgt tot het systeem. Maar een adminaccount kan ook bijvoorbeeld een speciale onzichtbare (op de achtergrond) connectie leggen naar zijn computer zodat elke keer als een computer opstart, hij toegang krijgt tot het netwerk.
Op deze manier is het mogelijk om zelfs jaren ongezien in de backups te zitten. Waardoor deze niet meer bruikbaar zijn.
Bij onze interne pentest maken we steeds gebruik van een grey-box-test. Een grey-box-test houdt het midden tussen een black box- en een white box-test. Onze expertkrijgt hierbij van tevoren beperkte informatie over de IT-infrastructuur, zoals een klant-/medewerkersaccount.
Grey-box-testen hebben een realistisch uitgangspunt. Onze pentester beschikt hiermee over ongeveer evenveel voorkennis als bijvoorbeeld een rancuneuze klant/medewerker of een goed geïnformeerde hacker. Op deze manier kunnen we goed zien hoe veilig een omgeving is vanuit een klant- of medewerkersperspectief.
Een goede voorbereiding maakt een pentester veel effectiever en gerichter. Een risico-inventarisatie is daarom waardevol. Vraag je af wat de achilleshiel van jouw organisatie kan zijn. Beschik je bijvoorbeeld over gevoelige bedrijfsinformatie, of verwerk je veel persoonsgegevens? Is imago belangrijk? Opereer je in een controversiële markt en zijn hackers wellicht uit op sabotage van je activiteiten? Probeer te achterhalen wat jouw organisatie een aantrekkelijk doelwit maakt voor kwaadwillenden. Zo kan tijdens de test hierop focus gelegd worden.
Het is daarnaast verstandig een rondgang te maken langs alle afdelingen en stakeholders in de organisatie. Zo kan een hr-directeur wellicht op andere risico’s wijzen dan de CFO. Een bedrijfsbrede inventarisatie zorgt voor een compleet risicobeeld. Dat voorkomt een te nauwe focus tijdens de pentest.
De duur van onze pentest is geheel afhankelijk van het beoogde doel, de gekozen methode en het beschikbare budget. Meestal werken we met een timeboxed pentest (de pentest vindt plaats binnen een afgesproken maximale tijdsduur. Binnen de beschikbaar gestelde tijd worden zoveel mogelijk kwetsbaarheden in kaart gebracht) die we berekenen op een 8u. Indien gewenst kunnen we hier uiteraard steeds van afwijken.
Voor onze pentest beginnen we steeds met een intakegesprek met onze pentester. Hier vindt naast een algemene kennismaking overleg plaats over onder andere de scope van de test, de methode van aanpak, het beschikbare budget en het tijdsbestek waarin de pentest plaatsvindt. Vervolgens vindt de daadwerkelijke pentest plaats.
Het aantonen van de impact van een kwetsbaarheid maakt het voor een klant mogelijk in te schatten welke kwetsbaarheden voor zijn of haar organisatie de grootste gevolgen heeft en daardoor prioriteit verdient. Wanneer onze expert zwakheden bij een externe partij ontdekt, dan wordt deze partij ingelicht zodat zij maatregelen kunnen nemen. Dat verhoogt uiteindelijk ook jouw securityniveau.
Na de uitvoering stelt onze expert een rapportage op met daarin de bevindingen, conclusies en aanbevelingen. Het rapport bestaat uit een management letter met daarin de belangrijkste conclusies en aanbevelingen, en uit een uitvoeriger technisch gedeelte.
Alle rapporten van iedere afzonderlijke pentest worden versleuteld bewaard in een zogeheten ‘cryptocontainer’, zodat ze veilig zijn afgeschermd voor de buitenwereld. Daarnaast geven we een presentatie op de kwartaalmeeting, zodat samen gezocht kan worden naar de meest veilige oplossing voor bepaalde situaties.