Pentest laten uitvoeren? 4 dingen die u moet weten
Wat is een penetratietest (pentest)?
Penetratietesten wordt ook wel ethisch hacken genoemd; een penetratietester kruipt in de huid van een hacker om zo kwetsbaarheden van een nieuwe server, webapplicatie of website in kaart te brengen. Penetratietesters proberen op allerlei verschillende manieren toegang te krijgen tot een geteste IT-omgeving of (web-)applicatie. Na afloop van een penetratietest volgt de rapportage met advies hoe kwetsbaarheden te verhelpen zijn.
Heeft mijn bedrijf een penetratietest nodig?
Een penetratietest levert inzichten waarmee een organisatie de informatiebeveiliging kan versterken. Een penetratietest brengt de kwetsbaarheden van een nieuwe server, webapplicatie of website in kaart. Het is belangrijk om een goed actueel beeld te houden van het algehele beveiligingsniveau van een organisatie, zodat je als organisatie hackers een stap voor bent. Daarnaast kunnen pentestrapportages worden gebruikt als onderliggende rapportages bij audits en assessments. Hierbij kan men denken aan de BIO, DigiD, ISAE3402/3000, SOC (1,2,3), ENSIA, ISO 27001 en de NEN 7510.
Zijn mijn (vertrouwelijke) gegevens in goede handen bij een penetratietester?
Een penetratietestorganisatie dient altijd van tevoren een Non Disclosure Agreement te tekenen. Door deze geheimhoudingsverklaring te tekenen zijn de gegevens in veilige handen. Het is verstandig om de keuze te maken voor een gecertificeerde penetratietester, omdat dit een teken is van vakkennis, praktische vaardigheden en creativiteit.
Wat voor verschillende mogelijkheden zijn er op het gebied van penetratietesten?
Voor het uitvoeren van een penetratietest worden er vaak drie verschillende methodes gehanteerd: black box, grey box & white box. De keuze voor de methode is afhankelijk van de omstandigheden en de wensen. Hoe lang een penetratietest in totaliteit duurt is afhankelijk van het doel, budget, gekozen methode en de complexiteit. Dit kan variëren van een aantal weken tot een aantal maanden.
Black box
De penetratietester heeft 0% voorkennis. De penetratietest wordt uitgevoerd als aanvaller. De black box-methode wordt vaak gebruikt bij het controleren van de algemene veiligheid van een applicatie, netwerk of omgeving.
Grey Box
De penetratietester heeft 50% voorkennis. Alleen de scope is bekend. De aanvaller kan gericht kwetsbare plekken in het systeem opsporen.
White Box
De penetratietester heeft 100% kennis van de opdracht/applicatie. De penetratietester is bijvoorbeeld in het bezit van inloggegevens en bekend zijn met de situatie achter de server.
Bevindingen oplossen en hertesten
Na het opsporen van kwetsbaarheden in een server, webapplicatie of website, worden de bevindingen gerapporteerd. Penetratietest.io biedt de optie om naast het opsporen, ook de bevindingen op te lossen en te hertesten. Wilt u meer weten over de mogelijkheden op het gebied van penetratietesten voor uw organisatie? Neem vrijblijvend contact met ons op!