Het doel van een pentest (of penetratietest) is achterhalen hoe kwetsbaar een applicatie (online of mobiel), een systeem, of een (cloud-)infrastructuur is voor aanvallen van binnenuit en van buitenaf. Een kwetsbare (web)applicatie of onvoldoende veilig systeem kan verstrekkende financiële gevolgen hebben of tot reputatieschade leiden.
Een pentest wordt veelal uitgevoerd door beveiligingsspecialisten die in de huid kruipen van kwaadaardige hackers en proberen binnen te dringen in beveiligde omgevingen. Een pentest geeft antwoord op de vraag: Is mijn applicatie, systeem of infrastructuur bestand tegen aanvallen?
Het verschil tussen een pentest en een echte aanval van een kwaadwillende hacker is dat de pentest altijd in opdracht en na overleg wordt uitgevoerd en bedoeld is om kwetsbaarheden en de achterliggende oorzaken aan het licht te brengen. De pentest vindt plaats nadat de reikwijdte (scope) van het onderzoek is vastgelegd. Na afloop krijgen opdrachtgevers een uitgebreide rapportage over wat onze pentesters aan kwetsbaarheden hebben aangetroffen. De resultaten worden in een 'Findings meeting' aan de opdrachtgever gepresenteerd, waarbij concrete voorstellen voor verbeteringen worden aangedragen, zodat gericht actie kan worden ondernomen om de beveiliging op peil te brengen.
Pentest type: Black, White en Grey
Er zijn verschillende vormen van pentesten. Wellicht de meest bekende is de Black Box-test. In deze vorm krijgt de pentester vooraf geen enkele informatie over de applicatie, het systeem of de IT-omgeving die getest moet worden. Het kennisniveau van ons pentestteam is hier vergelijkbaar met die van een kwaadwillende hacker. Deze pentest is doorgaans de minst grondige, mede doordat veel tijd gaat zitten in het onderzoeken van de onbekende omgeving.Bij een White Box-test krijgt de tester vooraf alle mogelijke informatie over het te testen systeem. Dit is de meest grondige pentest en de meest efficiënte manier om de test uit te voeren. Daarom heeft deze methodiek de voorkeur van Securify. Aangezien onze pentesters de beschikking hebben over de broncode, kunnen ze tot de kernoorzaken van kwetsbaarheden komen en gerichte aanbevelingen doen om de beveiliging op een hoger plan te krijgen.
De tussenvorm is de Grey Box-test, waarbij de ethische hacker vooraf beperkte informatie krijgt. Het simulatieniveau van de pentester is hier vergelijkbaar met die van een rancuneuze (ex-)medewerker of een klant. Deze vorm kan ingezet worden om de veiligheid van een applicatie of omgeving ook van binnenuit te beoordelen.
Het pentestproces
De eerste stap bij het uitvoeren van een pentest is het intakegesprek. Hierin wordt de scope van de test bepaald en afspraken vastgelegd over de beste aanpak, methodiek en het tijdsbestek waarin de pentest plaatsvindt. Op basis van het intakegesprek maken we een offerte voor de opdrachtgever.De voorbereiding van de test bestaat uit een gedetailleerde uitwerking van het intakegesprek, met onder meer een inventarisatie van de te onderzoeken systemen of omgeving. Daarbij wordt alle relevante informatie verzameld over het systeem ten aanzien van gebruikers, IT-architectuur, netwerkstructuur, accounts, broncode, aanwezige beveiliging en dergelijke. In een interne kick off-meeting komt het team bij elkaar om een strategie te bespreken en aanvalsscenario's uit te denken.
Op het afgesproken tijdstip volgt volgens de eerder vastgelegde scope de pentest. Alles wat de pentest doet en tegen komt tijdens hun aanval wordt nauwkeurig gelogd en gedocumenteerd. De onderzochte organisatie wordt via zogeheten 'start/stop-mails' van het begin en het einde van de test op de hoogte gebracht. Ook is er de mogelijkheid van 'om-de-dag updates' waarmee de opdrachtgever gaande de test op de hoogte wordt gehouden van de bevindingen van het pentestteam. Stuit het team tijdens de pentest op een high risk-kwetsbaarheid, dan wordt de opdrachtgever daar onmiddellijk op gewezen. Alle bevindingen, aanbevelingen en conclusies komen in een uitgebreide rapportage die aan de opdrachtgever wordt gepresenteerd in een findings meeting.