penetratie test laten doen

Penetratie test / pen test

Wanneer is een penetratie test nuttig?

Er zijn meerdere momenten waarop een pentest zinvol zou kunnen zijn:

  • In de acceptatie-fase van een nieuw systeem of een nieuwe applicatie;
  • Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie;
  • Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken;
  • Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht;
  • Om te controleren of de technisch beheerder of de software ontwikkelaar zijn werk wel goed doet.

Penetratie tests zijn ‘legale’ of ‘ethische hacker’ aanvallen op een netwerk, website, internettoegang of computersysteem. Dit houdt in dat we als legale hacker of via een computerprogramma proberen om uw systeem binnen te dringen met toestemming van de eigenaar van het systeem. Wanneer het lukt om met de penetratie test het systeem te hacken, weet de bouwer of beheerder welke zwakke punten er verbeterd moeten worden en weet de eigenaar van het systeem of het veilig gebouwd is. Zo geven pentests inzicht in de beveiligingsrisico’s en kwetsbaarheden van het computersysteem. Voor verschillende soorten systemen en behoeftes zijn er verschillende soorten penetratie tests, die hieronder verder zullen worden toegelicht.

 

Welke pen test is voor u van toepassing?

Website scan

Een website scan wordt gebruikt om eenvoudige websites, zonder interactieve inhoud en privacygevoelige database, te controleren op zwakke plekken waardoor hackers naar binnen kunnen komen. Een website scan gebeurt deels automatisch, door een computerprogramma, en deels handmatig, door een white hat hacker die zwakke plekken van de website in kaart brengt om echte hackers voor te zijn. Zo kunnen veelvoorkomende problemen als cross-site scripting en defacement voorkomen worden.

Cross-site scripting houdt in dat hackers via invulvakken, zoals contactformulieren, geen tekst versturen, maar scripts die veel schade kunnen aanrichten aan uw website, server of webomgeving. Defacement kan het gevolg zijn: hackers veranderen het uiterlijk van een website als een soort digitale graffiti. Dit komt helaas vaak voor omdat niet iedereen weet wat hij er tegen kan doen, terwijl de oplossing vaak zo simpel is als het uitvoeren van een website scan.

Voor meer informatie over website scans, hebben wij een aparte pagina aangemaakt.

Pen test op server en netwerk

Met een penetratie test op een server of netwerk kunt u de hacker voorblijven. Want wist u dat er op een gemiddelde server al duizenden hackers per dag van buitenaf proberen in te breken?
 

In een bedrijf bevindt zich vrijwel altijd een netwerk van computers, servers en databases. Het netwerk binnen het bedrijf wordt het Local Area Network genoemd, afgekort LAN. Dit netwerk is via een firewall verbonden aan het World Wide Web, het Wide Area Network, afgekort WAN. De taak van de firewall is om al het ongewenste verkeer proberen te onderscheppen.

Bij een pentest op server en netwerk testen wij de beveiliging van de servers en andere componenten van het netwerk van binnenuit of van buitenaf. U krijgt zo inzicht in kwetsbaarheden of beveiligingslekken in uw netwerk.

Wanneer wij van buitenaf scannen, gebeurt dit vanaf een andere locatie via het internet. De scan gaat er dan om of het voor hackers mogelijk is om door de firewall heen te breken om zo het LAN-netwerk binnen te komen en daar schade aan te richten.
Voor de scans van binnenuit kijken wij wat er mogelijk is wanneer een hacker al toegang heeft tot het LAN-netwerk, zoals databases of serverfuncties aanpassen of data bekijken die vanaf bepaalde computers niet zichtbaar moet zijn. Voor zo’n scan komt er in de meeste gevallen ook daadwerkelijk iemand naar het bedrijf toe met een laptop met de benodigde software.

Het is noodzakelijk om op deze manieren uw servers of netwerk te controleren, want wanneer een hacker uw server of netwerk overneemt, kan dit verstrekkende gevolgen hebben. Een hacker kan bijvoorbeeld websites overnemen, gevoelige informatie uit databases op straat leggen of de servers gebruiken voor eigen (wellicht criminele) doeleinden die dan op uw naam gebeuren. Ook kan het zijn dat een medewerker met kwade bedoelingen misbruik maakt van de zwaktes in het LAN-netwerk.

Pen test op applicaties

Wij adviseren u om een pentest op applicaties te laten uitvoeren wanneer binnen uw organisatie gebruik gemaakt wordt van maatwerk software, die niet regelmatig door uw softwareleverancier op beveiliging wordt gecontroleerd. Deze tests zijn gericht op uw specifieke applicaties met hun losse gevoelige onderdelen zoals de databases en content management systemen. Wij gebruiken hiervoor specialistische software om de broncodes van de software te scannen. Zo wordt, zoals bij iedere soort pentest, de hacker voorgegaan door zelf te kijken bij welke stukken in de codes hacks uitgevoerd kunnen worden. Zo wordt het duidelijk welke onderdelen van uw applicatie op maat extra versterking nodig hebben.

Deze pen tests zijn niet alleen geschikt als u bepaalde software gebruikt, maar ook als u software schrijft.

Actieve controle en pentest

Een actieve controle en pentest raden wij aan wanneer kritische informatie op het systeem aanwezig is, zoals financiële en privacygevoelige gegevens waarvan het wettelijk verplicht is om aan te tonen dat u alles gedaan heeft om de gegevens te beveiligen. Zo voorkomt u eventuele imago- en privacy-schade en daarop volgende schadeclaims van uw medewerkers, klanten en leveranciers.

Bij deze scan kruipen wij in de huid van een hacker en proberen we op diverse manieren uw systeem binnen te dringen. De scan wordt niet uitgevoerd door een computerprogramma, zoals veel andere scans, maar gebeurt door specialisten die ook minder voor de hand liggende hacks proberen uit te voeren en het systeem analyseert op aspecten die voor mensen belangrijk zijn. Voorbeelden hiervan zijn uitbuiting van menselijke zwaktes (‘social engineering’) en diepteaanvallen met tools zoals het ‘metasploit framework’ (een platform van ict-beveiligers).

Het resultaat van de penetratie test ontvangt u in de vorm van een heldere en bruikbare rapportage, waarmee u uw leverancier of ict beheerder aan het werk kan zetten. Ook kan BSM in een eventueel vervolg een traject uitzetten met stappen om de beveiliging te verbeteren en de uitvoering van dat plan voor zijn rekening nemen.

Neem voor het inplannen van een penetratie test of meer informatie over de mogelijkheden contact op.
 
penetratie test