• Security Incident?
  • +31 88 000 2000
  • +31 88 000 2020
  • support@access42.nl
Access42 logoAccess42 logoAccess42 logoAccess42 logo
  • HOME
  • DIENSTEN
    • CYBER DEFENSE CENTER
      • Prepare
      • Detect
      • Prevent
      • Respond
      • Predict
    • DIENSTEN
      • Incident Response
      • Penetratietest (Pentest)
      • Red Teaming aanval
      • Cyber Security Assessment (CSA)
    • MANAGED SERVICES / OPLOSSINGEN
      • Nessus
      • CyberTIM
      • Container Security CSI.2030
      • Vulnerability Management
        • Vulnerability Management
        • Web App Scanning
        • OT Security
      • Phishing & Triage
      • Brand Exploit Protect
      • E-Mail Security, Continuity & Archiving
        • E-mail Security 3.0
      • Endpoint Detection & Response (EDR)
      • Netwerk Detectie & Response (NDR)
        • Klaar om de controle over Microsoft (Office) 365-beveiliging terug te nemen?
        • AI-powered netwerk detectie en response
      • Thycotic – Privileged Access Management
      • Security Monitoring / SOC
  • ACCESS42
    • Over ons
    • Werken bij Access42
    • Partners
    • Disclaimer & Privacy Policy
  • EVENTS
  • NIEUWS
    • COVID-19
    • Nieuws
  • CONTACT
    • Contact
    • Incident Response
    • Inschrijven Nieuwsbrief
BUY NESSUS
  • Home
  • Nieuws
  • Nieuws
  • Definitiekwestie: Pentesting

Definitiekwestie: Pentesting

27 augustus 2020
Categories
  • Nieuws
Tags
  • assessment
  • opinie
  • pentesting
  • verschillen
  • vulnerability assessment

Regelmatig vragen wij onze medewerkers om een stukje te schrijven over een bepaald onderwerp. Dit keer heeft één van onze pentesters zich gewaagd aan een blog over de definitie van pentesting. In dit blog worden de verschillen benadrukt tussen een vulnerability assessment en een penetratietest.

Inleiding

Ethische hackers kunnen organisaties helpen bij het inzichtelijk krijgen van potentiële risico’s door de identificatie van aanwezige kwetsbaarheden/zwakheden binnen een overeengekomen scope. Pentesting is een van de mogelijke vormen van een dergelijk assessment. 

Helaas worden er in de markt verschillende definities toegepast. Dit heeft als gevolg dat testen door verschillende organisaties verschillend uitgevoerd kunnen worden. Offertes lijken misschien inhoudelijk op elkaar, maar het kan best appels met peren vergelijken zijn. Ook zijn de rapportages vaak inhoudelijk lastig vergelijkbaar door verschil in uitvoer.

Een vulnerability assessment is een fundamenteel andere dienst dan een pentest, maar veelal is er wel enige overlap waardoor verwarring snel kan ontstaat. Diensten worden daarbij ook soms gecombineerd aangeboden. Om het nog makkelijker te maken zijn er ook nog verschillende testvormen bedacht (blackbox, whitebox, etc.). Deze bepalen hoeveel en het soort informatie (zoals bijvoorbeeld inloggegevens) vooraf worden gedeeld.

Gelukkig bestaan er wel (internationale) standaarden en handreikingen. Voorbeelden hiervan zijn: Open Source Security Testing Methodology Manual (OSSTMM), Penetration Testing Guidance van de PCI Security Standards Council, Penetration Testing Execution Standard (PTES) en NIST SP 800-115. Dit brengt echter ook uitdagingen met zich mee zoals geïllustreerd in de volgende xkcd comic:

Binnen Access42 hebben wij nog eens goed gekeken naar onze visie op deze diensten. Op hoofdlijnen hanteert Access42 de volgende definities:

Vulnerability Assessment

Bij een vulnerability assessment worden (bekende) kwetsbaarheden/zwakheden geïdentificeerd binnen alle toegankelijke diensten in de overeengekomen scope. Het assessment en de rapportage gaan dus in de breedte en blijven hierdoor oppervlakkig. Bevindingen wordt niet actief geëxploiteerd met het doel om (verder) binnen te dringen. Een dergelijk assessment bestaat uit geautomatiseerde scans (met bijvoorbeeld Nessus) in combinatie met handmatige verificatie (foutpositief reductie), maar zeker ook uit handmatige controles.

Afhankelijk van de wensen wordt hierbij soms gekozen om beveiligingsmechanismes tijdelijk en doelgericht uit te schakelen om de achterliggende systemen te testen in plaats van de werking van de beveiligingsmechanismes zelf.

Pentesting

Bij een pentest worden ook kwetsbaarheden geïdentificeerd, maar hierbij wordt juist de diepte ingegaan met het doel onderzoeksvragen te beantwoorden. Dat wil zeggen dat exploits actief worden gebruikt om (verder) binnen te dringen. Voor dit doel wordt ook gekeken of bevindingen gecombineerd ingezet kunnen worden (chaining). De identificatie van kwetsbaarheden aan de oppervlakte stopt zodra lateraal bewogen kan worden. Bevindingen die niet hebben bijgedragen aan het exploitatiepad worden niet (uitgebreid) gerapporteerd.

Deze dienst is het effectiefst als de organisatie een vulnerability managementproces heeft of al eerder security assessments heeft laten uitvoeren.

Verschillen

Belangrijke verschillen tussen de 2 diensten zijn dus de balans tussen diepte/breedte en de aanwezigheid van een onderzoeksvraag. Een onderzoeksvraag als “Welke kwetsbaarheden zijn er vanuit ongeautoriseerd perspectief te identificeren” kan de balans van een onderzoek echter verleggen naar een vulnerability assessment. Met heldere afspraken (over o.a. de gewenste balans) maakt het onder aan de streep niet uit voor welke vorm gekozen wordt. Het Nationaal Cyber Security Centrum (NCSC) heeft in 2020 een (vernieuwd) whitepaper over securitytesten gepubliceerd met handige tips. Zie: Whitepaper Securitytesten

Impopulaire opinie?

Bij het testen van websites en sommige webapplicaties is er vaak geen sprake van een pentest. Een aantal veelvoorkomende webgebaseerde kwetsbaarheden vereist bijvoorbeeld een vorm van social engineering voor succesvolle exploitatie. Denk hierbij aan Phising om credentials te verkrijgen. Dit valt vaak buiten de scope van de opdracht. Deze scope limitatie is begrijpelijk, omdat de opdrachtgever geen vrijwaring kan geven voor aanvallen op (externe) bezoekers van de website. Daarbij kan er ook sprake zijn van een gedeelde infrastructuur dat weer diverse andere aanvallen onwenselijk maakt. In de praktijk blijft het dan ook vaak bij de identificatie van kwetsbaarheden in de breedte. Soms dienen hierbij zelfs bepaalde checklists afgelopen te worden, denk bijvoorbeeld aan de DigiD audit. Hier lijkt de pentester soms in de huid te kruipen van de auditor terwijl de pentest in principe los staat van de audit (behalve de verplichting).

Delen
1

Related posts

5 augustus 2020

CVE-2020-11896, CVE-2020-11897, CVE-2020-11901: Ripple20 Zero-Day kwetsbaarheid in Treck TCP/IP bibliotheken.

Read more
4 augustus 2020

Cybersecurity leverancier Thycotic en Access42 kondigen partner overeenkomst aan.

Read more
29 juli 2020

CVE-2020-10713: “BootHole” GRUB2 Bootloader Arbitrary Code Execution Vulnerability

Read more

Access42 B.V.
Leusderend 38
3832RC LEUSDEN

CyberDefense Center
  • Prepare
  • Detect
  • Prevent
  • Respond
  • Predict
Diensten
  • Phishing as a Service
  • Penetratietesten
  • Red Teaming
  • Nessus
  • Container Security
  • OT Security
  • Vulnerability Management
  • Endpoint Security
  • AI-powered network detection and response
  • E-mail security
  • Privileged Access Management
  • Alle Diensten
Over ons
  • Over Access42
  • Kernwaarden
  • Missie en Visie
  • Werken bij Access42
  • Partners
  • Disclaimer en Privacy Policy
  • Responsible Disclosure
Get in touch

© 2020 Access42 | Cybersecurity. All Rights Reserved.



Download de gratis whitepaper!

 

Inschrijven Webinar Vectra


Inschrijving Webinar Cofense


Inschrijven Webinar CrowdStrike


Start de Mimecast Service vandaag nog!


Start met de Cognito Detect for Microsoft 365 Free Service


Download de Tenable.OT Solution Brief

Name *

Email *


Prijslijst aanvragen

 


Meer weten over onze diensten?