088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

Pentesten: onderschat of niet bekend genoeg?

Vraagt u zich weleens af hoe veilig uw organisatie is voor aanvallen van hackers? Of welke informatie hackers kunnen zien als zij toegang tot uw bedrijfsnetwerk krijgen? Een pentest (of penetratietest) kan antwoord geven op deze vragen. De IT security experts van Crowe Peak horen vaak van ondernemers dat zij de onderzoeksmethode pentesten niet kennen, of deze simpelweg niet laten uitvoeren. Verbazingwekkend want een pentest kan een ontzettend bruikbaar hulpmiddel zijn om de beveiliging van uw organisatie naar een hoger niveau te brengen. Als we de kosten vergelijken van het uitvoeren van een pentest versus de kosten van een hack, raden we ieder bedrijf aan om minstens eenmaal per jaar een pentest te laten uitvoeren.

Pentest: waarom?

Het is alom bekend dat de functie van IT binnen organisaties is verschoven van een ondersteunende dienst, naar een vitaal bedrijfsonderdeel. Des te meer reden om weldoordacht om te gaan met IT. Indien uw IT-landschap wordt gecompromitteerd kan de continuïteit van uw onderneming op het spel staan. Het is daarom sterk aan te raden om te indexeren welke IT-onderdelen (mogelijk) onvoldoende beveiligd zijn. Een geschikte methode hiervoor is het laten uitvoeren van een pentest.

Een pentest is een onderzoeksmethode waarbij een pentester in de huid kruipt van een hacker om in te breken in uw IT-landschap. Feitelijk wordt er een reële situatie nagebootst om te onderzoeken op welke wijze een hacker in zal kunnen breken. Een pentest helpt dus met het bepalen van de mate waarin uw organisatie kwetsbaar is voor cyberaanvallen en hoe deze kwetsbaarheden uitgebuit kunnen worden. De uitkomsten kunnen worden gebruikt om beveiligingskwetsbaarheden te dichten en zo het algehele beveiligingsniveau naar een hoger niveau te brengen.

Verschillende varianten pentest

Een pentest kan hoge kosten met zich meebrengen. Dit heeft te maken met de expertise die nodig is voor het uitvoeren van een dergelijke test. Daarbij kan het uitvoeren van een pentest, om tot bruikbare resultaten te komen, veel tijd kosten. Het wordt daarom aangeraden voordat u een pentest uit laat voeren, goed na te denken over de pentest scope. Er zijn drie varianten van pentesten:

Soort Pentest

Toelichting

Black Box Pentest Bij Black Box pentesting verstrekt u voorafgaand slechts enkele zaken zoals bijvoorbeeld een URL of een IP-adres. Met deze beperkte informatie gaan onze experts aan de slag om door middel van tools en hacken toegang te krijgen tot de IT-omgeving. Deze methode gaat uit van het scenario dat een externe hacker zonder voorafgaande kennis uw netwerk wil kraken. Over het algemeen wordt Black Box toegepast wanneer er een algemeen beeld gevormd moet worden van de status van uw beveiliging.
White Box Pentest Een White Box pentest is een methode waarbij onze experts volledige toegang hebben tot alle benodigde onderdelen, zoals het netwerk, useraccounts en documentatie. Tijdens een White Box pentest wordt getoetst op basis van kennis die voor een externe hacker niet toegankelijk is. Veelal wordt deze pentest ingezet voor kleine bedrijfskritische netwerken en applicaties.
Grey Box Pentest Grey Box pentesting is een combinatie van Black en White Box. Deze techniek simuleert een scenario waarbij een kwaadwillende al enige toegang heeft tot de organisatie, bijvoorbeeld middels een useraccount en kennis van de netwerkarchitectuur. Grey Box pentesting maakt het mogelijk vanuit een gebruikersperspectief testen uit te voeren. Hiermee kan ook gerichter en efficiënter worden getest.

Afhankelijk van het type pentest kan de te spenderen tijd en expertise dus verschillen. Daarbij zullen per type pentest de uitkomsten ook anders zijn.

Na de pentest ontvangt u een rapportage met daarin de gevonden kwetsbaarheden en advies ter verbetering. Indien gewenst kunnen wij u uiteraard verder ondersteunen met het doorvoeren van beveiligingsmaatregelen of bijvoorbeeld meedenken met andersoortige verbeteringen.

Pentest vs. Vulnerability scan

Soms ontstaat er verwarring en worden de termen pentest en vulnerability scan door elkaar heen gebruikt. Vulnerability scanning (ook wel het scannen naar kwetsbaarheden) doelt op het geautomatiseerd zoeken naar technische kwetsbaarheden. Hiervoor worden tools gebruikt. Het is belangrijk om te onthouden dat dit mogelijke kwetsbaarheden zijn. Dit is nog geen zekerheid, gezien de geautomatiseerde tools ook valse positieven (false positives) kunnen geven. Pentesten gaat een stap verder door de gevonden kwetsbaarheden ook daadwerkelijk te onderwerpen aan manuele handeling om te verifiëren of de kwetsbaarheden misbruikt kunnen worden. Vulnerability assessments hebben dus als doel het verzamelen van informatie over mogelijke kwetsbaarheden, terwijl pentesten als doel heeft om te verifiëren of kwaadwillenden ook daadwerkelijk gebruik zouden kunnen maken van bepaalde kwetsbaarheden.

Pentest-as-a-service

Door de expertise die een pentest vereist is het voor kleine(re) organisaties vaak niet mogelijk om iemand full-time in dienst te nemen die dit takenpakket op zich kan nemen. Ook grote(re) organisaties willen mogelijk geen dienstverband aangaan met pentesters, omwille van bijvoorbeeld financiële redenen. Daarom biedt Crowe Peak de pentest-as-a-service optie aan. Hierbij zullen we een pentest uitvoeren als een project. Hiermee bespaart u als organisatie op kosten, omdat u niemand hoeft aan te nemen, maar krijgt u toch hetzelfde resultaat. Zo kunnen wij u helpen om uw IT-beveiliging naar een hoger niveau te tillen en de kans op inbreuken door cybercriminelen drastisch te verminderen.

Bent u ook benieuwd naar de mogelijkheden en resultaten die een pentest kunnen bieden? Of is het u nog niet helemaal duidelijk welke vorm van pentesten geschikt is voor uw situatie? Neem dan vrijblijvend contact op met de pentesters en IT-security experts van Crowe Peak. Wij helpen u graag verder.

Crowe Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 contact@crowe-peak.nl