Pentesten zijn gesimuleerde aanvallen op een IT-omgeving van een bedrijf. Wat voor pentesting services zijn er en hoe loopt een pentesting proces?
Wat zijn pentests?
Penetratie testen zijn een gesimuleerde aanval op een IT-omgeving van een bedrijf, met als doel het blootleggen van zwakke punten met betrekking tot de beveiliging. Zwakke plekken in de beveiliging vormen een reële bedreiging voor je bedrijf en kunnen leiden tot het lekken van gevoelige gegevens, verlies van waardevolle activa, denial of service en in het ergste geval de hele organisatie op de knieën dwingen. Het doel van een pentest is om kwetsbaarheden binnen een organisatie te identificeren en adequate stappen voor te stellen om eventuele bedreigingen effectief te beperken.
Voor wie zijn pentesten en wat kost het?
Pentesten zijn relevant voor organisaties van iedere omvang om te bepalen hoe kwetsbaar zij zijn voor digitale aanvallen. De prijzen van pentesten variëren per aanbieder en zijn afhankelijk van de complexiteit van de omgeving en de grootte van de organisatie - van MKB tot Enterprise.
Welke type pentesting services zijn er?
Er zijn verschillende soorten pentesten, namelijk black box, grey box en white box pentesten.
De Black Box pentest
Tijdens een Black Box pentest krijgt de pentester voorafgaand aan de pentest geen informatie van de opdrachtgever. Het is de minst grondige test in vergelijking met de andere varianten omdat de hacker geen voorafgaande informatie krijgt maar wel beperkt is door tijd en budget. Door de black box pentest krijg je meer inzicht over je externe omgeving.
De Grey Box pentest
De Grey Box pentest zit in het midden van de Black Box- en de White Box pentest. De pentester krijgt voorafgaand aan de pentest beperkte informatie. Hierbij kun je denken aan bijvoorbeeld inloggegevens van een medewerker. Door middel van de grey box pentest krijg je inzicht in de interne en externe omgeving van je bedrijf.
De White Box pentest
Bij een white box pentest krijgt de pentester voorafgaand aan de pentest de volledige informatie die nodig is. Hierdoor kan de pentest grondig worden uitgevoerd en heb je een volledig overzicht van je interne infrastructuur.
Welke stappen doorloop je bij een pentesting proces?
1. Planning
Het eerste wat moet gebeuren bij een pentest is het plannen van de test. Dit omvat het vaststellen van de scope van de test, het definiëren van de doelen en het verkrijgen van toestemming van de eigenaar.
2. Verzamelen van informatie
De volgende stap is het verzamelen van informatie over het systeem dat getest wordt. Dit omvat het identificeren van de systemen die getest worden en het verzamelen van informatie over deze systemen, zoals IP-adressen en softwareversies.
3. Identificeren van kwetsbaarheden
Nadat de informatie is verzameld, is het tijd om kwetsbaarheden in het systeem te identificeren. Dit kan worden gedaan door middel van geautomatiseerde scans en handmatige tests.
4. Exploitatie
Als er kwetsbaarheden zijn gevonden, kan de volgende stap zijn om deze kwetsbaarheden te exploiteren om toegang te krijgen tot het systeem.
5. Documentatie
Nadat de pentest is gedaan, is het belangrijk om een gedetailleerd rapport te maken waarin alle bevindingen worden gedocumenteerd. Dit rapport moet een samenvatting bevatten van de kwetsbaarheden die zijn gevonden, de stappen die zijn genomen om toegang tot het systeem te krijgen en de aanbevelingen voor het verbeteren van de beveiliging
Eenmalig of periodiek pentesten?
Eenmalig pentesten:
Het eenmalig pentesten is alleen een test die wordt gedaan om kwetsbaarheden in een systeem te identificeren. Deze manier van testen wordt vaak uitgevoerd als reactie op een specifieke gebeurtenis, zoals de implementatie van nieuwe software of de ontdekking van een kwetsbaarheid in een bestaand systeem. Het nadeel van eenmalig pentesten is dat het een momentopname is. Daardoor kunnen er nieuwe kwetsbaarheden ontstaan nadat de pentest is uitgevoerd.
Periodiek pentesten:
Bij het periodiek pentesten worden tests regelmatig uitgevoerd om ervoor te zorgen dat een systeem up-to-date blijft. De testen kunnen uitgevoerd worden op vaste tijdstippen of op basis van veranderingen in de IT-infrastructuur of dreigingslandschap. Het nadeel van periodieke pentesten is dat ze meer tijd en middelen vereisen dan eenmalige pentesten.
Hoe verhoudt een pentest zich tot een vulnerability assessment?
Een pentest wordt uitgevoerd door een pentester die over alle benodigde informatie beschikt. In het uiteindelijke rapport wordt vermeld hoe en waar de kwetsbaarheden gevonden zijn. De focus ligt op de gevolgen van de gevonden kwetsbaarheden en wat deze kwetsbaarheden voor jouw bedrijf betekenen.
Een vulnerability assessment is vaak volledig geautomatiseerd en geeft alleen inzicht in kwetsbaarheden die een risico kunnen vormen. Bij een pentest worden deze risico's ook echt daadwerkelijk uitgebuit. De focus ligt bij een vulnerability assessment dus op het vinden van verschillende kwetsbaarheden.
Nog een verschil tussen bovenstaande testen is dat een vulnerability assessment meestal sneller en goedkoper is dan een pentest, omdat het geautomatiseerd kan worden uitgevoerd. Een pentest vraagt meer expertise en tijd, omdat het handmatig moet worden uitgevoerd en er meer afstemming nodig is tussen de tester en de organisatie die de test uitvoert.