Wat is het doel van een Penetration Test?

Doel van een pentest

Penetration testing of pentesting is iets dat veel vragen oproept in het hoofd van managers, en dat is niet ongewoon. Met uw toestemming proberen we langs uw netwerk beveiligingscontroles te komen en zullen we dingen doen die niet te onderscheiden zijn van echte cyberaanvallen, dat is het algemene doel van een penetration test.

Voordat u akkoord gaat met een gesimuleerde aanval op uw netwerkinfrastructuur, wilt u precies weten waar het voor is. Wat krijgt u eruit? Met welke problemen moet u omgaan voor verbeteringen op lange termijn?

Er is geen eenduidig antwoord voor alle organisaties. Onze penetratietest diensten maken gebruik van verschillende methoden, afhankelijk van uw beveiligings behoeften en doelstellingen. Wanneer u een gratis overleg plant met ons, zullen we bespreken hoe we het beste aan uw doelen kunnen voldoen. Onze aanpak zal worden afgestemd op de informatiebescherming die u nodig heeft. Neem contact met ons op via onze website of telefonisch op +32 474 701 606 om een gratis overleg in te plannen.

Inleiding tot Penetration Testing

Het uiteindelijke doel is de ontdekking en eliminatie van beveiligingsrisico’s. Om dat specifiek te maken voor uw situatie, moet u verschillende vragen in overweging nemen:

  • Over welke soorten risico’s bent u het meest bezorgd?
  • Heeft u specifieke nalevingsvereisten op basis van uw werk en de informatie die u behandelt?
  • Welk niveau van gegevensbescherming heeft u nodig?
  • Welke risico’s zijn inherent aan uw type bedrijf?

Cyber beveiligingsdoelstellingen bepalen

Nadat u uw behoeften heeft onderzocht, kunt u deze vertalen naar doelstellingen. U bent misschien vooral bezorgd over het beoordelen van uw beveiligings infrastructuur, zoals bijvoorbeeld web application firewalls (WAF’s). Er kan een bepaalde webapplicatie zijn die u wilt testen. U wilt er misschien zeker van zijn dat een bepaald type informatie (bijv. beschermde gezondheidsinformatie onder HIPAA) voldoende bescherming heeft. De menselijke factor is mogelijk het belangrijkst en u wilt zien hoe mensen reageren op phishing en andere vormen van misleiding.

Elke doelstelling impliceert een afzonderlijk scenario voor beveiligingstests, elk met hun eigen doel en methoden. Ze zullen variëren in methodologie en dekking. Hier zijn enkele mogelijke gevallen:

  • Doelstelling: Bepaal of uw externe controles voldoende uw risico verminderen en slechte actoren buiten houden. Methode: Pas aanvallen aan op die controles en richt u op veelvoorkomende zwaktes.
  • Doelstelling: Evalueer uw gehele aanvalsoppervlak en identificeer zwaktes in externe apparaten. U wilt bepalen of uw computersystemen veilig zijn, zelfs als aanvallers firewalls penetreren. Methode: Richt u op zwaktes die vaak voorkomen bij desktop- en mobiele apparaten. Dit kan inhouden dat de testers de firewall omzeilen.
  • Doelstelling: Test uw gebruikers op hun reactie bij misleidende e-mails en andere communicatie. Dit is een test van mensen in plaats van technologie. Methode: Verstuur op maat gemaakte phishing-berichten, voer telefoongesprekken en misschien zelfs persoonlijke bezoeken uit om langs fysieke beveiliging te komen.
  • Doelstelling: Evalueer de effectiviteit van het beveiligingsbeleid om te zien of de voorgeschreven acties een effectieve verdediging bieden wanneer ze worden gevolgd. Methode: Bestudeer het beveiligingsbeleid, zoek naar hiaten en bedenk strategieën die ze kunnen exploiteren.

Industrie-specifieke vereisten

Sommige organisaties moeten zich houden aan specifieke normen, zoals GDPR of NIS2. Bedrijven die creditcardgegevens verwerken, moeten de PCI-beveiligingsnormen voor gevoelige gegevens volgen. Penetratietesten gebouwd rond deze vereisten zijn een belangrijk onderdeel van een beveiligings beoordeling. Verbeteringen aanbrengen aan de hand van de resultaten van een test zal helpen om het risico op boetes of bedrijfsstilstand als gevolg van niet-naleving te minimaliseren.

Wat Penetration Testing is en doet

De gemeenschappelijke noemer is dat penetratietesten, ook bekend als ethisch hacken, cybersecurity-problemen identificeert door pogingen te simuleren om beveiligingsmaatregelen te omzeilen. Als het slaagt, kan een echte aanvaller dezelfde zwakke punten misbruiken. Penetratietesten kunnen uitgevoerd worden op een productiesysteem of op een systeem dat apart is gezet voor de testers.

De tests kunnen geautomatiseerd of handmatig zijn, of testers kunnen een combinatie van beide gebruiken. Geautomatiseerde tools hebben het voordeel van grondigheid en consistentie. Ze behandelen alle gemeenschappelijke kwesties die zich kunnen voordoen in een bepaalde omgeving. De tests zijn herhaalbaar, dus ze kunnen vooruitgang meten of verschillende installaties vergelijken. De handmatige aanpak stelt testers in staat om hun intuïtie te gebruiken. Elke site is uniek en testers kunnen waarschijnlijke zwakke punten bedenken die de geautomatiseerde tools niet behandelt.

Beoordeling van Cyber Beveiligingseisen

De eerste stap is het beoordelen van het doelwit. We zullen gebruik maken van alle informatie die u, de klant, ons geeft en kunnen ook ons eigen onderzoek doen. We zullen geschikte methoden bedenken, een geschikte testreeks selecteren of op maat gemaakte tests ontwikkelen om waarschijnlijke zwakke punten te identificeren. Gewapend met deze voorbereiding zullen we proberen in te breken in de systemen. Soms, met goedkeuring van de klant, kan dit een daadwerkelijke fysieke inbraakpoging omvatten.

We vermijden directe schade aan de doelsystemen, en we beschermen vertrouwelijke gegevens die we blootleggen.

Rapportage van de resultaten

Het rapport aan de klant is een belangrijk onderdeel van het proces. Een goede pentester zal u vertellen welke testmethodologie hij heeft gebruikt, welke zwaktes hij heeft gevonden en hoe ernstig deze waren. Het rapport stelt u in staat om de problemen te prioriteren en eerst de meest opvallende problemen op te lossen.

De tests kunnen herhaald worden nadat u corrigerende maatregelen hebt genomen. U kan zien hoeveel verbetering er was en of u in het proces nieuwe beveiligingsproblemen hebt geïntroduceerd.

De remedies zullen bestaan uit het versterken van configuraties, het opleiden van personeel, het updaten van niet-gepatchte besturingssystemen en toepassingssoftware en het oplossen van bugs. De testen moeten periodiek uitgevoerd worden om de voortgang bij het beveiligen van systemen te meten.

Doel van een Penetration Test

Het belangrijkste doel van een penetratietest is uiteindelijk om beveiliging zwaktes in een netwerk, machine of software te identificeren. Zodra deze gevonden zijn, kunnen de personen die de systemen of software onderhouden de zwaktes verminderen of elimineren voordat vijandige partijen ze ontdekken.

Beveiliging is niet alleen afhankelijk van hoe goed de machines en software bestand zijn tegen penetratiepogingen. Andere aspecten zijn onder meer:

  • Effectiviteit van uw beveiligingsbeleid
    Het kan tekortkomingen hebben die aanvallers kunnen uitbuiten wanneer werknemers zich aan de regels houden. In andere gevallen begrijpen de werknemers het beleid mogelijk niet goed genoeg. U kunt ontdekken dat uw organisatie het beleid moet herzien of het trainingsprogramma moet verbeteren.
  • Naleving van compliance-vereisten
    Regelgeving en standaarden zoals HIPAA en PCI vereisen specifieke soorten beveiligingsmaatregelen. Niet-naleving kan leiden tot zware boetes of het verlies van zakelijke opportuniteiten en kansen. Een penetratietest kan helpen om te bepalen of de bescherming aanwezig is en effectief werkt.
  • Bewustwording van beveiliging bij werknemers
    Sommige tests richten zich op de reacties van werknemers op phishing, social engineering en dergelijke. Ze kunnen laten zien hoe effectief de training is geweest en werknemers identificeren die aanvullende herinneringen nodig hebben. De tests kunnen gebieden onthullen die de training niet heeft behandeld of waar meer tijd aan moet besteed worden.
  • Effectiviteit van incidentrespons
    Beveiligingsincidenten zullen zelfs in goed beveiligde omgevingen plaatsvinden. Daarom is het belangrijk om te testen hoe goed IT- en beveiligingspersoneel erop reageren. Deze aanpak werkt het beste wanneer de mensen die het incident behandelen niet weten of het een test of een echte aanval is.
  • Penetration Testing versus Vulnerability Assessment
    Penetratietesten zijn anders dan een kwetsbaarheid beoordeling (Vulnerability Assessment). De laatste zoekt naar bekende problemen in software en configuraties met behulp van kwetsbaarheidsscans maar probeert de kwetsbaarheden niet uit te buiten. De twee zijn nuttige en complementaire technieken.

Penetration Test Strategieën

Penetratietesters gebruiken doorgaans één of meerdere strategieën, afhankelijk van de doelstellingen en wat acceptabel wordt geacht.

Gerichte Penetration Test
Gerichte penetratietesten worden uitgevoerd door het IT- of beveiligingsteam van de klant en het test team waarbij iedereen weet wat er gebeurt en niemand verrast wordt. Deze aanpak veroorzaakt minimale verstoring omdat het IT-team de test niet zal verwarren met een echte aanval. Het maakt snelle feedback in beide richtingen mogelijk.

Externe Penetration Test
Externe testen nemen het perspectief aan van een externe aanvaller die (in eerste instantie) geen systeemrechten heeft. De testers kunnen servers en apparaten zien die zichtbaar zijn op internet. Dit omvat webservers, mailservers en FTP-servers, firewalls en alle apparaten die per ongeluk toegang krijgen. De test omvat het scannen van toegangspunten op open poorten, het testen van services, loginpogingen en het zoeken naar gelekte informatie.

Interne Penetration Test
Interne testen werken vanuit een gebruikersaccount dat aan de tester is gegeven. De tester bepaalt of het account acties kan uitvoeren of toegang kan krijgen tot middelen waarvoor het niet gemachtigd is. Afgezien van het beoordelen van hoeveel schade een kwaadwillende werknemer kan aanrichten, meet het wat er kan gebeuren als een buitenstaander de referenties voor een account steelt. In systemen die consequent het principe van de minste privileges toepassen, kan een normaal account slechts beperkte schade aanrichten.

Double-Blind Penetration Test
Hierbij opereren zowel de tester als de klantorganisatie blind. Slechts enkele mensen aan de klantzijde weten van de test, en zij omvatten geen IT-personeel. Voor de interne IT medewerkers zal deze aanval overkomen als een echte aanval. Dit type test evalueert het vermogen van IT en beveiliging om te reageren op een cyber aanval. Het brengt risico’s met zich mee omdat het technische team systemen zou kunnen isoleren of operaties kan beperken om de “aanval” te stoppen.

Black Box Testing
Black box testing is vergelijkbaar met blind testing, deze termen worden vaak door elkaar gebruikt. Black-box testers weten welke systemen ze targeten, maar hebben geen kennis buiten wat publiek beschikbaar is. Dit is iets meer informatie dan een echte blind tester heeft, maar meestal beperkt tot de URL van de website van het bedrijf of het IP-adres. Dit type test kan helpen om te laten zien of de klant te veel informatie gemakkelijk beschikbaar heeft gesteld.

White Box Testing
White box testing staat ook bekend als clear box testing. De testers krijgen gedetailleerde informatie over het doel systeem, inclusief broncode, configuraties en systeemdocumentatie. Het stelt testers in staat om het grootste aantal zwaktes in de kortste tijd te vinden en helpt om te laten zien wat een kwaadwillende insider zou kunnen doen. In tegenstelling tot interne testing, omvat white box testing geen inloggegevens voor accounts.

Het voorbereiden van uw volgende penetration test

Elke organisatie moet overwegen om een penetration test of penetratietest uit te voeren. Het helpt uw organisatie om zwakke punten te identificeren die anders mogelijk over het hoofd worden gezien en om te leren hoe uw beveiliging bestand is tegen realistische aanvallen.

Neem zonder verplichtingen contact met ons en ontdek hoe we uw cyber beveiliging kunnen verbeteren.

We are using cookies to give you the best experience. You can find out more about which cookies we are using or switch them off in privacy settings.
AcceptPrivacy Settings

GDPR

  • Disclaimer en Privacy
  • Google Analytic

Disclaimer en Privacy

We gebruiken jouw gegevens om de dienst te leveren en te verbeteren. Door gebruik te maken van de dienst ga je akkoord met de verzameling en het gebruik van informatie zoals beschreven in dit beleid. Tenzij anders gedefinieerd in dit Privacybeleid, hebben de termen die in dit Privacybeleid worden gebruikt dezelfde betekenis als in onze Algemene Voorwaarden, die te vinden zijn op https://www.bossit.be.

Je kunt ons volledige beleid hier lezen: https://www.bossit.be/disclaimer-en-privacy/

Google Analytic

Deze website maakt gebruik van Google Analytics om anonieme informatie te verzamelen, zoals het aantal bezoekers aan de site en de meest populaire pagina’s.

Het inschakelen van deze cookie helpt ons onze website te verbeteren.