Pentest

Momentopname
hacken
  • bekwame pentest professionals

    Bekwame professionals

    Beveiligingsexperts van wereldklasse voeren de pentest uit.

  • pentest inclusief code reviews

    De stap extra

    Inclusief code reviews, detectieadvies en meer.

  • impactbepaling

    Past zich aan

    Impactbepaling voor jouw specifieke bedrijfscontext.

  • bevindingen pentest

    Bruikbare bevindingen

    Implementatieklaar advies, gepresenteerd door echte mensen.

Wat is een pentest?

Een pentest (of penetratietest) is een geautoriseerde manier om bij ICT-infrastructuren van organisaties in te breken, beveiligingssystemen te omzeilen en zo kwetsbaarheden en risico’s te identificeren.

Pentesters, ook wel bekend als ethische hackers, voeren deze pentesten uit. De doelstelling van een pentest is om de kwetsbaarheden die in de beveiliging worden gevonden, in kaart te brengen en zo de systemen beter te beveiligen tegen aanvallen van o.a. cybercriminelen. Eigen werknemers zijn niet altijd op de hoogte van de geautoriseerde aanval. Dit levert dan ook waardevolle informatie op over de weerbaarheid van de organisatie, of een aanval wordt gedetecteerd en hoe eigen werknemers hierop reageren.

In het huidige klimaat van reële kansen op cyberaanvallen is het regelmatig uitvoeren van een pentest een must voor organisaties om hun weerbaarheid continue te vergroten.

hacking

Waarom een pentest?

Je kunt jouw beveiliging niet evalueren als je deze niet test. Je hebt een reality check nodig om er zeker van te zijn dat jouw prioriteiten correct zijn en jouw risico's zichtbaar en beheersbaar zijn. Het testen van je eigen werk is bevooroordeeld en dus een risico op zich.

Een pentest is een krachtig hulpmiddel om op een bepaald moment beveiligingsrisico's in jouw product en infrastructuur bloot te leggen. Het verhoogt onmiddellijk de kennis en het bewustzijn en biedt je bruikbare inzichten om je te verdedigen tegen bedreigingen uit de echte wereld.

Het doel van een pentest

Het doel van een pentest (of penetratietest) is achterhalen hoe kwetsbaar een applicatie (online of mobiel), een systeem, of een (cloud-)infrastructuur is voor aanvallen van binnenuit en van buitenaf. Een kwetsbare (web)applicatie of onvoldoende veilig systeem kan verstrekkende financiële gevolgen hebben of tot reputatieschade leiden. Een pentest geeft antwoord op de vraag: Is mijn applicatie, systeem of infrastructuur bestand tegen aanvallen?

De pentest vindt plaats nadat de reikwijdte (scope) van het onderzoek is vastgelegd. Na afloop krijgen opdrachtgevers een uitgebreide rapportage over wat onze pentesters aan kwetsbaarheden hebben aangetroffen. De resultaten worden in een 'Findings meeting' aan de opdrachtgever gepresenteerd, waarbij concrete voorstellen voor verbeteringen worden aangedragen, zodat gericht actie kan worden ondernomen om de beveiliging op peil te brengen.

pentest experts

Mentaliteit van een aanvaller

Cybercriminelen houden zich niet aan de regels. Ze zijn buitengewoon creatief in het vinden van alternatieve manieren om in jouw systeem te komen en slagen er vaak in.

Al onze experts hebben dezelfde aanvallersmentaliteit. Ze zijn uitgerust met de mogelijkheden en tools om zeer geavanceerde aanvallen uit te voeren om jouw webapp, mobiele app, (cloud)infrastructuur, phishing-awareness of wifi te testen. Ze kunnen specifieke malware schrijven die gericht is op jouw organisatie en samenwerken om de zwakke plekken te identificeren. Alles op een ethische en wettelijk goedgekeurde manier.

Ze richten zich op de gebieden die voor jouw bedrijf van belang zijn, leggen het 'waarom' uit en delen concreet, uitvoerbaar advies.

Jouw pentest opties

  • Pentest gebaseerd op laaghangend

    Time-boxed

    Pentest gebaseerd op laaghangend fruit en populaire aanvallen die relevant zijn voor jouw bedrijf.

  • White-box, grey-box of black-box pentest

    Standaard

    White box, grey box of black box pentest binnen jouw gewenste scope, inclusief presentatie en detectieadvies.

  • Scenario based pentest

    Scenario Based Pentest

    Test een scenario

    Uitgebreide Scenario Based Pentest gebaseerd op een relevant scenario passend bij jouw organisatie.

    Scenario based ➤
mobiele app beveiligingstesters

Mobiele roots

We waren de eerste mobiele app beveiligingstesters in Nederland. Reverse engineering en de mentaliteit van de aanvaller zijn diep geworteld in ons DNA. Dit heeft ons in de loop der jaren in staat gesteld om onze eigen tools van eigen bodem te ontwikkelen om onze testprocessen te versnellen.

We zijn bekend met de meeste SDK's, app-bescherming, afschermingsoplossingen en OWASP-standaarden.

webapp expertise

Webapp-expertise

We hebben meer dan 1000 codebeoordelingen van web-apps uitgevoerd. Veel van onze teamleden werkten vroeger als ontwikkelaars. In navolging van hun ambitie hebben we ze geholpen om hackers te worden. Door vast te houden aan standaarden als OWASP Security Verification Standard (ASVS), voegen we structuur en metingen toe aan ons proces. We zijn graag super concreet, dus we eindigen niet met een rapport vol aanbevelingen, maar zorgen ook voor de exacte codefixes.

Vraag een offerte aan

Bel onsphone
Mail onsmail

Soorten pentesten

Ruwweg zijn er drie soorten pentesten. De Black Box Pentest, White Box Pentest en de Grey Box Pentest. Het verschil zit hem voornamelijk in de hoeveelheid informatie die het pentest team heeft over het te testen systeem.

  • White box pentest

    White Box pentest

    Bij een White Box test krijgt de tester vooraf alle mogelijke informatie over het te testen systeem. Dit is de meest grondige pentest en de meest efficiënte manier om de test uit te voeren. Deze variant heeft onze voorkeur omdat we hiermee de meeste meerwaarde bieden.

  • Grey box pentest

    Grey Box pentest

    De tussenvorm is de Grey Box test, waarbij we vooraf beperkte informatie krijgen. Het simulatieniveau van de pentester is hier vergelijkbaar met die van een rancuneuze (ex-)medewerker of een klant.

  • Black box pentest

    Black Box pentest

    In deze vorm krijgt de pentester vooraf geen enkele informatie over de applicatie, het systeem of de IT-omgeving die getest moet worden. Het kennisniveau van ons pentest team is hier vergelijkbaar met die van een kwaadwillende hacker.

De White Box Pentest is het meest grondige en heeft daardoor onze voorkeur. Aangezien onze pentesters de beschikking hebben over de broncode, kunnen ze tot de kernoorzaken van kwetsbaarheden komen en gerichte aanbevelingen doen.

De Grey Box Pentest kan ingezet worden om de veiligheid van een applicatie of omgeving ook van binnenuit te beoordelen. Bij deze variatie krijgen we meestal alleen toegang tot de omgeving met de daarbij horende accounts.

De Black Box Pentest is doorgaans de minst grondige variant. Dit komt mede doordat veel tijd gaat zitten in het onderzoeken van de onbekende omgeving.

Het pentest proces

Het intakegesprek

De eerste stap bij het uitvoeren van een pentest is het intakegesprek. Hierin wordt de scope van de test bepaald en afspraken vastgelegd over de beste aanpak, methodiek en het tijdsbestek waarin de pentest plaatsvindt. Op basis van het intakegesprek maken we een offerte voor de opdrachtgever.

De voorbereiding

De voorbereiding van de test bestaat uit een gedetailleerde uitwerking van het intakegesprek, met onder meer een inventarisatie van de te onderzoeken systemen of omgeving. Daarbij wordt alle relevante informatie verzameld over het systeem ten aanzien van gebruikers, IT-architectuur, netwerkstructuur, accounts, broncode, aanwezige beveiliging en dergelijke. In een interne kick off-meeting komt het team bij elkaar om een strategie te bespreken en aanvalsscenario's uit te denken.

De pentest

Op het afgesproken tijdstip volgt volgens de eerder vastgelegde scope de pentest. Alles wat de pentest doet en tegenkomt tijdens hun aanval wordt nauwkeurig gelogd en gedocumenteerd. De onderzochte organisatie wordt via zogeheten 'start/stop-mails' van het begin en het einde van de test op de hoogte gebracht. Ook is er de mogelijkheid van 'om-de-dag updates' waarmee de opdrachtgever gedurende de test op de hoogte wordt gehouden van de bevindingen van het pentestteam. Stuit het team tijdens de pentest op een high risk-kwetsbaarheid, dan wordt de opdrachtgever daar onmiddellijk op gewezen. Alle bevindingen, aanbevelingen en conclusies komen in een uitgebreide rapportage die aan de opdrachtgever wordt gepresenteerd in een findings meeting.

Na de pentest

Na de pentest is er, afhankelijk van de bevindingen en blootgelegde risico's, in meer of mindere mate werk aan de winkel: kwetsbaarheden moeten gerepareerd worden en risico's adequaat gereduceerd. Waar nodig adviseren wij opdrachtgevers bij het repareren van gevonden kwetsbaarheden en het doorvoeren van aanpassingen in de software. Het is raadzaam om na het afronden van de herstelfase de applicaties en systemen opnieuw te pentesten, om te beoordelen of de oude problemen zijn opgelost en er geen nieuwe zijn ontstaan. Daarnaast is het belangrijk bij een applicatie welke actief ontwikkeld wordt om deze met regelmaat te testen om zo zeker te weten dat er geen nieuwe kwetsbaarheden zijn ontstaan tijdens de ontwikkeling.

Pentest laten uitvoeren?

Bel onsphone
Mail onsmail

Benieuwd naar onze andere diensten?

  • Scenario based pentest

    Scenario Based Pentest

    Test een scenario

    Uitgebreide Scenario Based Pentest gebaseerd op een relevant scenario passend bij jouw organisatie.

    Scenario based ➤
  • Code review

    Code Review

    Analyse tot in de kern

    Code review voor jouw applicatie.

    Code review ➤
  • Shark

    Red Teaming

    Test je infra en org

    Realiteitscontrole van de organisatie door echte aanvallen te simuleren.

    Red Teaming ➤