Penetratietest / Pentest

 
Penetratietesten (vaak “pentesting”, “pentest”, “netwerk penetration testing” of “security testing”) is een controle van één of meer computersystemen en applicaties op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. Access42 doet dit op dezelfde manier zoals een hacker dit zou doen om zo de gaten in uw beveiliging te identificeren.
Ethische hackers kunnen organisaties helpen bij het inzichtelijk krijgen van potentiële risico’s door de identificatie van aanwezige kwetsbaarheden/zwakheden binnen een overeengekomen scope. Pentesting is een van de mogelijke vormen van een dergelijk assessment. Helaas worden er in de markt verschillende definities toegepast. Dit heeft als gevolg dat testen door verschillende organisaties verschillend uitgevoerd kunnen worden.

Vanuit Access42 zien we Vulnerability Assessment als een fundamenteel andere dienst dan een penetratietest, maar er is wel enige overlap waardoor verwarring snel kan ontstaan. Lees hier meer over de verschillen.

Soorten penetratietesten
    Black box; Access42 heeft minimale voorkennis van de infrastructuur of applicatie die getest moet worden;
    White box; Access42 krijgt voorafgaande aan de test inzicht in alle aspecten van de systeemarchitectuur, inclusief accounts met verschillende rollen;
    Grey box; Access42 beschikt over gedeeltelijke informatie. Dat kan bijvoorbeeld een inlogaccount zijn om te testen of het voor gebruikers met een werkend account mogelijk is om misbruik te maken van de rechten bij een account. Bij black box komt de aanvaller wellicht niet langs het inlogscherm en heeft dan niet de gelegenheid of de tijd om ook dit soort aspecten nog te testen;
    Crystal box / Code review; Access42 beschikt over de broncode van de applicatie en heeft toegang tot alle mogelijke configuratie-informatie;
    Time box (of budget box); een test waarbij de doorlooptijd of de kosten bepalen wanneer de test ophoudt. Bijvoorbeeld: hoe ver kan een team ervaren pentesters in drie dagen komen?;
    Red Teaming; Access42 krijgt een vrijbrief en probeert via verschillende methodes binnen te komen, vaak met als doel een vooraf met de klant afgesproken target.;
    Purple Team; In plaats van dat de aanvallers (red team) en verdedigers (blue team) als afzonderlijke teams werken, gaan we juist samenwerken. Informatie over gebruiker technieken, tools en methodes wordt gedeeld met het blue team om zo een betere verdediging te kunnen ontwikkelen.

Het doel van een pentest is om inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem en om verbeteringen te definiëren voor de beveiliging -met andere woorden, de risico’s en kwetsbaarheden te bestrijden.


 
Access42 werkwijze penetratietesten
Gezamenlijk met de opdrachtgever definiëren we één of meerdere onderzoeksvragen. Daarnaast geven we ook aan op welke wijze we de test gaan uitvoeren, zie hierboven de soorten testen. Wanneer de onderzoeksvragen en de scope bekend zijn wordt in een plan van aanpak beschreven hoe we het onderzoek gaan uitvoeren en welke fasen er zijn.

Tijdens het onderzoek maken we gebruik van onze eigen ontwikkelde CyberTIM framework. De bevindingen worden binnen het CyberTIM framework gerapporteerd. Dit zorgt voor het 4-ogen principe waarbij de pentesters elkaar kunnen controleren, classificatie eenduidig gedaan kan worden en unieke ID’s aan bevindingen gegeven worden. Is een bevinding eerder gedaan, dan wordt automatisch de juiste tekst ingevuld en kan een tester deze aanvullen met opdracht specifieke informatie. Door samen te werken binnen één framework zijn we in staat om continu dezelfde kwaliteit te leveren, continuïteit te bieden en delen we kennis binnen het team.

Daarnaast maakt Access42 gebruik van allianties met onze partners. Waardoor wij vroegtijdig toegang hebben tot informatie over (nieuwe) kwetsbaarheden, de status van eventuele PoC’s, nieuwe aanvalstechnieken en tooling. Daarnaast volgen we een groot scala aan nieuwssites waarop kwetsbaarheden worden gepubliceerd.

Als het onderzoek is afgerond volg er een rapportage. Standaard wordt deze in het Nederlands opgeleverd. Er is de mogelijkheid om in plaats van Nederlands de rapportage in het Engels op te leveren. Dit zal vooraf afgestemd worden met de opdrachtgever.

Access42 heeft goede kennis van en gedegen ervaring in het uitvoeren van penetratietesten. Aangezien doorgaans een bedrijf vaak zelf niet over de noodzakelijke expertise en/of de tijd beschikt die nodig is om zelf een penetratietest uit te voeren wordt dit vaak uitbesteedt; Access42 is hier de juiste partner voor!


Wat is het resultaat?

Na de uitvoer van de penetratietest leveren wij een rapport op met daarin de resultaten en bevindingen geclassificeerd op basis van de directe (technische) impact. Voor de classificatie van bevindingen wordt CVSSv3 (Common Vulnerability Scoring System) toegepast. Het rapport bestaat verder uit:

    Management samenvatting met de beantwoording van de onderzoeksvragen en een heldere uitleg van de relevante risico’s en eventuele gevolgen;
    Introductie en beschrijving van de opdracht en scope;
    Bevindingen die hebben bijgedragen aan de beantwoording van de onderzoeksvraag. Deze bevatten een omschrijving, classificatie met toelichting hiervan, Proof of Concept en een mogelijke oplossing;
    Aanbevelingen t.b.v. verbetering beveiligingsniveau.

Wij presenteren dit document en geven handvaten om verder te gaan met de opvolging.

Wil je meer weten over onze pentesten? Laat een bericht achter via onderstaand formulier:

 

     
     

    "Bij ruim 78% van onze opdrachtgevers hebben wij ernstige kwetsbaarheden aangetroffen."

     
    75%