Pentesting

Momentopname
hacken
  • Beveiligingsexperts van wereldklasse

    Bekwame professionals

    Beveiligingsexperts van wereldklasse voeren de pentest uit.

  • pentest inclusief code reviews

    De stap extra

    Inclusief code reviews, detectieadvies en meer.

  • impactbepaling

    Past zich aan

    Impactbepaling voor uw specifieke bedrijfscontext.

  • bevindingen pentest

    Bruikbare bevindingen

    Implementatieklaar advies, gepresenteerd door echte mensen.

hacking

Waarom een pentest?

U kunt uw beveiliging niet evalueren als u deze niet test. U heeft een reality check nodig om er zeker van te zijn dat uw prioriteiten correct zijn en uw risico's zichtbaar en beheersbaar zijn. Het testen van je eigen werk is bevooroordeeld en dus een risico op zich.

Een pentest is een krachtig hulpmiddel om op een bepaald moment beveiligingsrisico's in uw product en infrastructuur bloot te leggen. Het verhoogt onmiddellijk de kennis en het bewustzijn en biedt u bruikbare inzichten om u te verdedigen tegen bedreigingen uit de echte wereld.

Het doel van een pentest

Het doel van een pentest (of penetratietest) is achterhalen hoe kwetsbaar een applicatie (online of mobiel), een systeem, of een (cloud-)infrastructuur is voor aanvallen van binnenuit en van buitenaf. Een kwetsbare (web)applicatie of onvoldoende veilig systeem kan verstrekkende financiële gevolgen hebben of tot reputatieschade leiden. Een pentest geeft antwoord op de vraag: Is mijn applicatie, systeem of infrastructuur bestand tegen aanvallen?

De pentest vindt plaats nadat de reikwijdte (scope) van het onderzoek is vastgelegd. Na afloop krijgen opdrachtgevers een uitgebreide rapportage over wat onze pentesters aan kwetsbaarheden hebben aangetroffen. De resultaten worden in een 'Findings meeting' aan de opdrachtgever gepresenteerd, waarbij concrete voorstellen voor verbeteringen worden aangedragen, zodat gericht actie kan worden ondernomen om de beveiliging op peil te brengen.

pentest experts

Mentaliteit van een aanvaller

Cybercriminelen houden zich niet aan de regels. Ze zijn buitengewoon creatief in het vinden van alternatieve manieren om in uw systeem te komen en slagen er vaak in.

Al onze experts hebben dezelfde aanvallersmentaliteit. Ze zijn uitgerust met de mogelijkheden en tools om zeer geavanceerde aanvallen uit te voeren om uw webapp, mobiele app, (cloud)infrastructuur, phishing-awareness of wifi te testen. Ze kunnen specifieke malware schrijven die gericht is op uw organisatie en samenwerken om de zwakke plekken te identificeren. Alles op een ethische en wettelijk goedgekeurde manier.

Ze richten zich op de gebieden die voor uw bedrijf van belang zijn, leggen het 'waarom' uit en delen concreet, uitvoerbaar advies.

Uw pentest opties

  • Pentest gebaseerd op laaghangend

    Time-boxed

    Pentest gebaseerd op laaghangend fruit en populaire aanvallen die relevant zijn voor uw bedrijf.

  • White-box, grey-box of black-box pentest

    Normaal

    White box, grey box of black box pentest binnen uw gewenste scope, inclusief presentatie en detectieadvies.

  • scenariogebaseerde pentest

    Scenario based pentest

    Test een scenario

    Uitgebreide scenario based pentest voor het verfijningsniveau van uw keuze.

    Meer info
mobiele app beveiligingstesters

Mobiele roots

We waren de eerste mobiele app beveiligingstesters in Nederland. Reverse engineering en de mentaliteit van de aanvaller zijn diep geworteld in ons DNA. Dit heeft ons in de loop der jaren in staat gesteld om onze eigen tools van eigen bodem te ontwikkelen om onze testprocessen te versnellen.

We zijn bekend met de meeste SDK's, app-bescherming, afschermingsoplossingen en OWASP-standaarden.

webapp expertise

Webapp-expertise

We hebben meer dan 1000 codebeoordelingen van web-apps uitgevoerd. Veel van onze teamleden werkten vroeger als ontwikkelaars. In navolging van hun ambitie hebben we ze geholpen om hackers te worden. Door vast te houden aan standaarden als OWASP Security Verification Standard (ASVS), voegen we structuur en metingen toe aan ons proces. We zijn graag super concreet, dus we eindigen niet met een rapport vol aanbevelingen, maar zorgen ook voor de exacte codefixes.

Vraag een offerte aan

Bel onsphone
Mail onsmail

Soorten pentesten

Ruwweg zijn er drie soorten pentesten. De Black Box Pentest, White Box Pentest en de Grey Box Pentest. Het verschil zit hem voornamelijk in de hoeveelheid informatie die het pentest team heeft over het te testen systeem.

  • White box pentest

    White Box pentest

    Bij een White Box test krijgt de tester vooraf alle mogelijke informatie over het te testen systeem. Dit is de meest grondige pentest en de meest efficiënte manier om de test uit te voeren. Deze variant heeft onze voorkeur en hier kunnen we de meeste meerwaarde bieden.

  • Grey box pentest

    Grey Box pentest

    De tussenvorm is de Grey Box test, waarbij we vooraf beperkte informatie krijgen. Het simulatieniveau van de pentester is hier vergelijkbaar met die van een rancuneuze (ex-)medewerker of een klant.

  • Black box pentest

    Black Box pentest

    In deze vorm krijgt de pentester vooraf geen enkele informatie over de applicatie, het systeem of de IT-omgeving die getest moet worden. Het kennisniveau van ons pentest team is hier vergelijkbaar met die van een kwaadwillende hacker.

De White Box Pentest is het meest grondige en heeft daardoor onze voorkeur. Aangezien onze pentesters dan de beschikking hebben over de broncode, kunnen ze tot de kernoorzaken van kwetsbaarheden komen en gerichte aanbevelingen doen.

De Grey Box Pentest kan ingezet worden om de veiligheid van een applicatie of omgeving ook van binnenuit te beoordelen. Bij deze variatie krijgen we meestal alleen toegang tot de omgeving met de daarbij horende accounts.

De Black Box Pentest is doorgaans de minst grondige variant. Dit komt mede doordat veel tijd gaat zitten in het onderzoeken van de onbekende omgeving.

Het pentest proces

Het intakegesprek

De eerste stap bij het uitvoeren van een pentest is het intakegesprek. Hierin wordt de scope van de test bepaald en afspraken vastgelegd over de beste aanpak, methodiek en het tijdsbestek waarin de pentest plaatsvindt. Op basis van het intakegesprek maken we een offerte voor de opdrachtgever.

De voorbereiding

De voorbereiding van de test bestaat uit een gedetailleerde uitwerking van het intakegesprek, met onder meer een inventarisatie van de te onderzoeken systemen of omgeving. Daarbij wordt alle relevante informatie verzameld over het systeem ten aanzien van gebruikers, IT-architectuur, netwerkstructuur, accounts, broncode, aanwezige beveiliging en dergelijke. In een interne kick off-meeting komt het team bij elkaar om een strategie te bespreken en aanvalsscenario's uit te denken.

De pentest

Op het afgesproken tijdstip volgt volgens de eerder vastgelegde scope de pentest. Alles wat de pentest doet en tegenkomt tijdens hun aanval wordt nauwkeurig gelogd en gedocumenteerd. De onderzochte organisatie wordt via zogeheten 'start/stop-mails' van het begin en het einde van de test op de hoogte gebracht. Ook is er de mogelijkheid van 'om-de-dag updates' waarmee de opdrachtgever gedurende de test op de hoogte wordt gehouden van de bevindingen van het pentestteam. Stuit het team tijdens de pentest op een high risk-kwetsbaarheid, dan wordt de opdrachtgever daar onmiddellijk op gewezen. Alle bevindingen, aanbevelingen en conclusies komen in een uitgebreide rapportage die aan de opdrachtgever wordt gepresenteerd in een findings meeting.

Na de pentest

Na de pentest is er, afhankelijk van de bevindingen en blootgelegde risico's, in meer of mindere mate werk aan de winkel: kwetsbaarheden moeten gerepareerd worden en risico's adequaat gereduceerd. Waar nodig adviseren wij opdrachtgevers bij het repareren van gevonden kwetsbaarheden en het doorvoeren van aanpassingen in de software. Het is raadzaam om na het afronden van de herstelfase de applicaties en systemen opnieuw te pentesten, om te beoordelen of de oude problemen zijn opgelost en er geen nieuwe zijn ontstaan. Daarnaast is het belangrijk bij een applicatie welke actief ontwikkeld wordt om deze met regelmaat te testen om zo zeker te weten dat er geen nieuwe kwetsbaarheden zijn ontstaan tijdens de ontwikkeling.

Pentest laten uitvoeren?

Bel onsphone
Mail onsmail