Bij Grip IT Consultancy hebben we gecertificeerde ethical hackers. Zij kunnen de ICT veiligheid van uw organisatie controleren door middel van het uitvoeren van een pentest, om zo de zwakke plekken in uw (ICT) beveiliging te identificeren. We begrijpen uiteraard dat u zelf benieuwd bent wat een pentest precies inhoudt. Daarom dit blog over pentesten.
Voor organisaties is het natuurlijk erg belangrijk om hackers een stap voor te blijven. Veel organisaties hebben al een aantal maatregelen genomen, zoals een firewall of antivirus software. Maar is dit voldoende? Om dit te beoordelen is daarom het uitvoeren van een pentest aan te bevelen. Maar wat is precies een pentest, welke verschillende pentesten zijn er en wat komt er allemaal bij kijken?
Wat is een pentest?
Pentest is de afkorting van ‘penetration testing’. Bij een pentest doet een ethical hacker zich eigenlijk voor als echte hacker. Via deze weg krijgen ze toegang tot de geteste IT-omgeving. Op deze manier kunnen de zwakke plekken van de website, applicatie of zelfs gehele IT-infrastructuur bloot gelegd worden. Na afloop van een pentest kan een organisatie met gerichte maatregelen deze kwetsbaarheden zo goed mogelijk verhelpen.
Is een pentest van toegevoegde waarde?
Pentesten leveren inzichten op waarmee een organisatie de security intern kan versterken. Dit kan in veel verschillende gevallen nuttig zijn. Een pentest kan de zwakheden van een nieuwe server of website in kaart brengen. Ook kan het waardevol zijn om het algehele securityniveau van de organisatie in kaart te brengen.
De duur van een pentest is afhankelijk van het doel, de gekozen methode en het beschikbare budget binnen een organisatie. Sommige pentesten zijn heel specifiek gericht op een website of applicatie. Andere kunnen breder gericht zijn, of zelfs op de gehele IT-infrastructuur. Afhankelijk van de grootte en complexiteit kan een pentest een dag tot enkele weken in beslag nemen.
Welke verschillende pentesten zijn er?
Er zijn vier verschillende pentest methodes te onderscheiden. Elke methode heeft zijn eigen specifieke voor- en nadelen. De keuze hangt geheel af van de omstandigheden binnen een organisatie.
Black box: Bij de black box methode krijgt de ethical hacker vooraf geen enkele informatie over de IT-infrastructuur. Aangezien de ethical hacker geen voorinformatie heeft, maar wel gelimiteerd is door tijd en budget, is deze methode doorgaans de minst grondige. De black box methode is nuttig wanneer je bijvoorbeeld voor de eerste keer een test uitvoert en een algemeen beeld wilt krijgen van het beveiligingsniveau.
Grey box: De grey box zit tussen de black en white box in. De ethical hacker krijgt hierbij van tevoren beperkte informatie over de IT-infrastructuur, zoals een klant/medewerker account. Grey box testen zijn meestal minder grondig dan white box testen, maar hebben wel een realistisch uitgangspunt. De ethical hackers beschikken over ongeveer evenveel voorkennis als bijvoorbeeld een klant/medewerker of een goed geïnformeerde hacker. Grey box-testen worden bijvoorbeeld vaak toegepast om te kijken hoe veilig een omgeving is vanuit een klant- of medewerkersperspectief.
White box: Bij een white box krijgen ethical hackers vooraf volledige openheid van zaken. Daardoor kunnen zij de pentest zeer grondig uitvoeren. Het nadeel van deze methode is dat het veel tijd kost, omdat alles tot in detail wordt onderzocht. Deze methode wordt meestal toegepast bijvoorbeeld op een applicatie die zeer belangrijk voor een klant is.
Red teaming: De red teaming test gaat verder dan alleen het testen van de infrastructuur. Bij deze test wordt er geprobeerd om op verschillende manieren binnen te komen. Dit kan bijvoorbeeld door social engineering, het uitbuiten van kwetsbaarheden in uw externe ICT-omgeving of het verkrijgen van fysieke toegang tot uw organisatie. Deze verschillende aanvallen worden bij red teaming gecombineerd om zo onopgemerkt toegang te verkrijgen in uw organisatie. Een voorbeeld van red teaming is het versturen van een phishing e-mail naar enkele (of alle) medewerkers binnen de organisatie om te kijken wie er op de link klikt zodat de ethical hacker op deze manier bepaalde informatie kan verkrijgen of zich op die manier toegang tot het bedrijfsnetwerk kan verschaffen. De zwakste schakel in uw organisatie is namelijk de mens. Door middel van red teaming krijgt u inzicht in potentiele risicofactoren in uw organisatie, de effectiviteit van uw huidige (ICT) maatregelen en het bewustzijn van uw personeel.
Hoe verloopt een pentest bij Grip IT Consultancy?
Voordat de ethical hacker de pentest gaat uitvoeren, plannen we eerst een kennismakingsgesprek met u in. Tijdens dit gesprek zullen we onder andere de scope van de test, onze aanpak en het tijdsbestek waarin de pentest moet plaatsvinden met u bespreken. Na afloop presenteren we in een persoonlijk gesprek alle bevindingen van de pentest met u.
Daarbij is een belangrijk onderscheidende factor van Grip IT Consultancy dat wij de test geheel onafhankelijk uitvoeren zonder dat er aan de uitkomst van de test een commercieel belang is gekoppeld, wij werken samen met u, uw ICT afdeling en (indien van toepassing) uw externe ICT dienstverlener om er voor te zorgen dat de geconstateerde kwetsbaarheden op een pragmatische manier worden opgepakt en uitgevoerd.
Na het uitvoeren van de nodige aanpassingen door uw organisatie kunnen wij een hertest uitvoeren om te beoordelen of de genomen maatregelen effectief zijn. Uiteindelijk zal de pentest resulteren in een hoger securityniveau binnen uw organisatie.