Pentest / penetratie Testing

Met een Pentest de beveiligingsrisico’s in beeld brengen

Een pentest wordt ook wel penetratie test of een kwetsbaarheidsanalyse genoemd en is een ‘legale’ of ‘ethische hacker’ aanval op een netwerk, website, internettoegang of computersysteem. Vooraf geeft de eigenaar van het te testen systeem toestemming aan gecertificeerde en deskundige pentesters van BSM om met behulp van computerprogramma’s en handmatige tests te proberen om het systeem binnen te dringen.

Hierdoor krijgt u per risico inzichtelijk in hoeverre het een hoog risico, middel risico of laag risico betreft, zodat u deze kwetsbaarheden kan oplossen

Wanneer het lukt om met de pentest het systeem te hacken, weet de bouwer of beheerder welke zwakke punten er verbeterd moeten worden en weet de eigenaar van het systeem of net veilig gebouwd is. Zo geeft een pentest inzicht in de beveiligingsrisico’s en kwetsbaarheden van het computersysteem.

Voor de verschillende soorten systemen en behoeftes zijn er verschillende soorten pentests, die hieronder verder zullen worden toegelicht.

Welke test is voor u van toepassing?

Website scan

Een website scan wordt gebruikt om eenvoudige websites, zonder interactieve inhoud en privacygevoelige database, te controleren op zwakke plekken waardoor hackers naar binnen kunnen komen. Een website scan gebeurt deels automatisch, door een computerprogramma, en deels handmatig, door een white hat hacker van ons bedrijf die zwakke plekken van de website in kaart brengt om echte hackers voor te zijn. Zo kunnen veelvoorkomende problemen als cross-site scripting en defacement voorkomen worden.

Cross-site scripting houdt in dat hackers via invulvakken, zoals contactformulieren, geen tekst versturen, maar scripts die veel schade kunnen aanrichten aan uw website, server of webomgeving. Defacement kan het gevolg zijn: hackers veranderen het uiterlijk van een website als een soort digitale graffiti. Dit komt helaas vaak voor omdat niet iedereen weet wat hij er tegen kan doen, terwijl de oplossing vaak zo simpel is als het uitvoeren van een website scan.

Voor meer informatie over website scans, hebben wij een aparte pagina aangemaakt.

Pentesting op server en netwerk

Met een pentest op een server of netwerk kunt u de hacker voor zijn en houdt u de server voor uw eigen bedrijf. Want wist u dat er op een gemiddelde server al duizenden hackers per dag van buitenaf proberen in te breken?

In een bedrijf bevindt zich vrijwel altijd een netwerk van computers, servers en databases. Het netwerk binnen het bedrijf wordt het Local Area Network genoemd, afgekort LAN. Dit netwerk is via een firewall verbonden aan het World Wide Web, het Wide Area Network, afgekort WAN. De taak van de firewall is om al het ongewenste verkeer proberen te onderscheppen.

Bij een penetration test op server en netwerk wordt de beveiliging van de servers en andere componenten van het netwerk van binnenuit of van buitenaf getest. U krijgt hiermee inzicht in kwetsbaarheden of beveiligingslekken in uw netwerk.

Wanneer we van buitenaf scannen, gebeurt dit vanaf een andere locatie via het internet. De scan gaat er dan om of het voor hackers mogelijk is om door de firewall heen te breken om zo het LAN-netwerk binnen te komen en daar schade aan te richten.
Voor de scans van binnenuit kijken wij wat er mogelijk is wanneer een hacker al toegang heeft tot het LAN-netwerk, zoals databases of serverfuncties aanpassen of data bekijken die vanaf bepaalde computers niet zichtbaar moet zijn. Voor zo’n scan komt er in de meeste gevallen ook daadwerkelijk iemand naar het bedrijf toe met een laptop met de benodigde software.

Het is noodzakelijk om op deze manieren uw servers of netwerk te controleren, want wanneer een hacker uw server of netwerk overneemt, kan dit verstrekkende gevolgen hebben. Een hacker kan bijvoorbeeld websites overnemen, gevoelige informatie uit databases op straat leggen of de servers gebruiken voor eigen (wellicht criminele) doeleinden die dan op uw naam gebeuren. Ook kan het zijn dat een medewerker met kwade bedoelingen misbruik maakt van de zwaktes in het LAN-netwerk.

Pentesting Cyber security door BSM met Pentest en audit
pentest door BSM

Pentest op applicaties

Wij adviseren u om een pentest op applicaties te laten uitvoeren wanneer binnen uw organisatie gebruik gemaakt wordt van maatwerk software, die niet regelmatig door uw softwareleverancier op beveiliging wordt gecontroleerd. Deze tests zijn gericht op uw specifieke applicaties met hun losse gevoelige onderdelen zoals de databases en content management systemen. Wij gebruiken hiervoor specialistische software om de broncodes van de software te scannen. Zo wordt, zoals bij iedere soort pentest, de hacker voorgegaan door zelf te kijken bij welke stukken in de codes hacks uitgevoerd kunnen worden. Zo wordt het duidelijk welke onderdelen van uw applicatie op maat extra versterking nodig hebben.

Deze pentests zijn niet alleen geschikt als u bepaalde software gebruikt, maar ook als u software schrijft.

Actieve controle en pentest

Een actieve controle en pentest raden wij aan wanneer kritische informatie op het systeem aanwezig is, zoals financiële en privacygevoelige gegevens waarvan het wettelijk verplicht is om aan te tonen dat u alles gedaan heeft om de gegevens te beveiligen. Zo voorkomt u eventuele imago- en privacyschade en daarop volgende schadeclaims van uw medewerkers, klanten en leveranciers.

Bij deze scan kruipen wij in de huid van een hacker en proberen we op diverse manieren uw systeem binnen te dringen. De scan wordt niet uitgevoerd door een computerprogramma, zoals veel andere scans, maar gebeurt door specialisten die ook minder voor de hand liggende hacks proberen uit te voeren en het systeem analyseert op aspecten die voor mensen belangrijk zijn. Voorbeelden hiervan zijn uitbuiting van menselijke zwaktes (‘social engineering’) en diepteaanvallen met tools zoals het ‘metasploit framework’ (een platform van ict-beveiligers).

Het resultaat van de pentest ontvangt u in de vorm van een heldere en bruikbare rapportage, waarmee u uw leverancier of ict beheerder aan het werk kan zetten. Ook kan BSM in een eventueel vervolg een traject uitzetten met stappen om de beveiliging te verbeteren en de uitvoering van dat plan voor zijn rekening nemen.

Pentest aanvragen

Wilt u een pentest aanvragen? Dat kan. Met de technische kennis van BSM zorgen we er samen met u voor dat u weet waar uw zwakke plekken zitten.

Meer over pentests

Er zijn meerdere momenten waarop een pentest zinvol kan zijn:
In de acceptatiefase van een nieuw systeem of een nieuwe applicatie;
Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie;
Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken;
lees meer

Werkwijze bij pentest

Wilt u weten hoe BSM een penetration test uitvoert? We hebben de stappen in het pentestproces voor u uitgeschreven.

Contact met BSM

Wilt u overleg over de verschillende soorten pentesten en de mogelijkheden? U kunt ook contact met ons opnemen voor meer informatie.