Pentesten

Het uitvoeren van een Pentest heeft als doel om een specifiek onderdeel van systemen te testen, inzicht te krijgen in beveiligingsproblemen en en met de verkregen informatie deze efficiënt te verhelpen. Pentesten worden ook uitgevoerd om te kijken of de beveiliging van een applicatie aan de standaard voldoet. Daarnaast is het bij sommige applicaties ook nodig om deze periodiek te laten pentesten voor bijvoorbeeld een DigiD onderzoek.

Een pentest is geschikt voor iedere organisatie die het beveiligingsniveau van hun websites, ICT-infrastructuren, API-koppelingen, mobiele apps en (web) applicaties wil meten.

Daar waar een pentest een specifiek onderdeel van de ICT-infrastructuur binnen organisaties test, wordt de vraag naar een bedrijfsbrede beveiligingstest steeds groter. Een scenario based pentest heeft een grotere (organisatiebrede) reikwijdte en verschillende doelen, namelijk: hoe veerkrachtig en/of volwassen is de organisatie om zich te verdedigen tegen bepaalde dreigingen. En dan het liefst een test die zo veel mogelijk de realiteit van een cyberaanval benadert, waardoor met het resultaat van de test de beveiliging voor dit scenario wordt geoptimaliseerd. Om aan deze vraag te voldoen heeft Securify de Scenario Based Pentest ontwikkeld. Aangezien bedrijven niet in het bezit hoeven te zijn van een SOC en een blue team zoals bij een Red Teaming, is een Scenario Based Pentest geschikt voor de meeste organisaties.

Bij een pentest bekijkt men een specifiek onderdeel van de systemen. Een Red Teaming richt zich op specifieke doelen door middel van een reeks aanvallen uitgaande van een gekozen mitre att&ck® threat modeling. Securify simuleert een echt APT (Advanced Persistent Attack: constante, verborgen en geavanceerde hackingtechnieken) met als doel om bijvoorbeeld data te exfiltreren (het lekken van data naar de buitenwereld) of ransomware aanval te simuleren. Red Teaming wordt doorgaans uitgevoerd bij een bedrijf of organisatie als deze zelf in het bezit zijn van een Blue (verdedigende) Team en daarmee een Security Operations Center. Het verschil tussen een Scenario Based Pentest en een Red Teaming is dat een Scenario Based Pentest een stuk van een complete aanval onderzoekt. Je doorloopt dus niet van begin tot eind een complete aanval (in-through-out) maar beperkt je tot bijvoorbeeld een deel waarbij je al toegang tot het interne netwerk hebt en je ervan uitgaat dat een laptop al overgenomen is of onderzoekt hoe de escalatie verloopt als je een Phishingmail campagne uitvoert.

Een pentest wordt uitgevoerd door een pentester met alle kennis die benodigd is om de test te kunnen uitvoeren. Bij een pentest wordt een uitgebreid rapport opgemaakt over hoe en waar kwetsbaarheden gevonden zijn door deze te testen en daarna efficiënt te verhelpen. Door het opvolgen van de geconstateerde aanbevelingen kan men de beveiliging optimaliseren. Een vulnerability scan is een geautomatiseerde snelle check door middel van een softwareprogramma zonder verdere stappen en/of diepgang over de geconstateerde kwetsbaarheden.

Een pentest zorgt ervoor dat een specifiek onderdeel van het systeem getest wordt op kwetsbaarheden in de beveiliging en met de verkregen informatie kunnen de beveiligingsproblemen verholpen worden. Er zijn drie type pentesten: Black box, grey box en white box. Code review wordt toegepast op software om te kijken waar beveiligingsfouten zitten en geeft een duidelijke en diepe code-analyse om tot de kern van het probleem te komen. In principe komt dit dus heel dicht bij een white box pentest. De aanbeveling bij Code Review is om dit in de ontwikkelfase van de software te doen en hiermee tijd en herstelkosten te besparen.

Securify combineert een pentest met een code review en ziet dit als een toegevoegde waarde voor klanten, omdat dit meer diepgang biedt voor het onderzoek (meerwaarde). Andere securitypartijen beperken zich meestal tot het uitvoeren van een black of grey box pentest. Securify kijkt ook onder de motorkap van je applicatie(in de code) om zo sneller/beter kwetsbaarheden te identificeren en hierdoor een betere aanbeveling richting de klant te kunnen doen.

Een automated Pentest is een geautomatiseerde snelle check door middel van een softwareprogramma zonder verdere stappen en/of diepgang over de geconstateerde kwetsbaarheden.

Een pentest neemt gemiddeld 1-4 weken in beslag.

Buiten de standaard Pentest die uitgevoerd kan worden volgens verschillende methodieken als Black Box, Grey Box en White Box, biedt Securify ook de Scenario Based Pentest. Bij een Scenario Based Pentest wordt een beveiligingsbeoordeling bij een bedrijf of organisatie uitgevoerd door een geavanceerde aanval te simuleren, gebaseerd op een specifiek scenario, bijvoorbeeld een ransomware aanval. Het doel van de test is om het bestaande beveiligingsniveau van een organisatie te beoordelen om zich te kunnen wapenen tegen realistische cyberaanvallen. Het beveiligingsniveau wordt bepaald door drie aspecten: preventie, detectie en respons.

De keuze voor een soort Pentest doe je in overleg met een cybersecurity specialist, zoals Securify. Zij kijken naar welke Pentest het beste bij je bedrijf of organisatie past. Aanbevolen wordt om een Pentest te kiezen die, niet alleen kwetsbaarheden in systemen constateert, maar waar met name aanbevelingen gegeven kunnen worden. En door het opvolgen van deze aanbevelingen kun je de beveiliging van systemen kan (laten) optimaliseren. Er zijn drie type pentesten: Black box, grey box en white box. Bij een White Box test krijgt de pentester vooraf alle mogelijke informatie over het te testen systeem. Dit is de meest grondige Pentest en de meest efficiënte manier om de test uit te voeren. Securify geeft de voorkeur aan deze variant omdat we de meeste toegevoegde waarde kunnen bieden.

Voor het uitvoeren van een Pentest in websites, ICT-infrastructuren, API-koppelingen, mobiele apps en (web) applicaties kennen we drie verschillende methodieken: Black box, Grey box en White box. De Black Box Pentest is een echte cyberaanval zoals cybercriminelen zouden uitvoeren. In deze vorm krijgt de pentester vooraf geen enkele informatie over de applicatie, het systeem of de IT-omgeving die getest moet worden. Het kennisniveau van ons pentest team is hier vergelijkbaar met die van een kwaadwillende hacker. De Grey Box Pentest is een zogenaamde tussenvorm, waarbij de pentester vooraf beperkte informatie krijgen. Het simulatieniveau van de pentester is hier vergelijkbaar met die van een rancuneuze (ex-)medewerker of een klant. Bij de White Box Pentest (Crystal Box ) wordt vooraf alle mogelijke informatie verkregen door de opdrachtgever over het te testen systeem. Dit is de meest grondige pentest en de meest efficiënte manier om de test uit te voeren. Aangezien onze pentesters de beschikking hebben over de broncode, kunnen ze sneller tot de kernoorzaken van kwetsbaarheden komen en gerichte aanbevelingen doen.

Er bestaan momenteel geen opleidingen waarbij je voor pentester kunt studeren. Maar een bachelor opleiding Cyber Security of master opleidingen Information Security Technology is een mooi beginpunt. Ook zijn er een aantal certificeringen voor pentesting en information security. De ervaring leert dat de meeste pentesters begonnen zijn in het vak omdat ze van nature nieuwsgierig zijn en veel zelf onderzoeken en uitzoeken (intrinsieke motivatie). Er zijn online gratis trainingen die mensen kunnen volgen om het “gevoel” te krijgen (HTB/tryhackme). En daarna ervaring opdoen bij gespecialiseerde Cybersecurity bedrijven, zoals Securify.