Wat is een pentest?

Een pentest, ook wel penetratietest genoemd, is een vorm van ethisch hacken. Organisaties en bedrijven stellen een gespecialiseerd ethisch hacker aan om in de rol van een kwaadwillende hacker te duiken. Systemen, digitale netwerken of web applicaties van het bedrijf worden getest op kwetsbaarheden. Op elke denkbare manier wordt geprobeerd om IT beveiliging te kraken en gevoelige data afhandig te maken.

Pentesten zou minimaal eens per jaar moeten worden uitgevoerd voor een optimaal resultaat. Alleen op deze manier kan een bedrijf bijblijven met de continue ontwikkeling van IT gevaren. Afhankelijk van de complexiteit en analyse kan er gekozen worden voor maatwerk of pentest tools. Er is een breed scala aan pentesten, maar welke moet je kiezen? Een 'white box', 'black box' of 'grey box' pentest? Hieronder lees je een toelichting op de verschillende methodes van pentesten.

3 Verschillende pentest strategieën

Een ethische hacker is een IT expert die bedrijven en organisaties helpt met het identificeren van potentiële IT beveiligingsrisico's. Verschillende methodes, tools en benaderingen worden gebruikt om alle mogelijke gevaren inzichtelijk te maken. Er zijn drie verschillende type pentesten:

• White box pentest - De tester heeft op voorhand volledige toegang tot het systeem en alle nodige details gekregen. Deze details bestaan uit credentials om in te loggen en inzicht in de netwerkstructuur en broncode. Dit type pentest wordt veelal gebruikt om de pentest zeer grondig uit te voeren. Lees meer informatie over een white box pentest. we
• Grey box pentest - De tester heeft op voorhand beperkte kennis gekregen van het bedrijf. Met deze beperkte kennis gaat de pentester opzoek naar kwetsbaarheden van de IT infrastructuur en netwerk. Dit is een combinatie van een black box en white box pentest en komt vaak het dichtst bij de realiteit. Ook kost het minder tijd om uit te voeren en dus minder geld. Lees meer informatie over een grey box pentest.
• Black box pentest - De tester heeft op voorhand geen informatie over het netwerk of de IT infrastructuur van het bedrijf. Het wordt getest alsof een kwaadwillende hacker de applicatie, website of data zou willen stelen. Hiermee worden de gevaarlijkste kwetsbaarheden inzichtelijk gemaakt. Lees meer informatie over een black box pentest.

Wat wordt er getest met een pentest?

1. Netwerk pentest

Met een netwerk pentest wordt gezocht naar kwetsbaarheden binnen de netwerk infrastructuur van een organisatie of bedrijf. Dit kan in een eigen netwerk van een bedrijf zijn maar ook een cloud-omgeving zoals Azure Cloud of Amazon Web Services (AWS). Doorgaans worden de encryptie, security patches en configuraties op de test gesteld en gecheckt.

Bij een netwerk pentest wordt onderscheid gemaakt tussen een externe en een interne test. Bij een externe netwerk pentest wordt uitgegaan van een situatie waar de hacker het systeem binnen te komen. Een interne test is een test waar wordt aangenomen dat de hacker de externe barrière al heeft doorbroken. Lees meer over een netwerk pentest.

2. Web Applicatie pentest

Een web application pentest wordt toegepast voor e-commerce websites (Magento, Shopify, etc.), cloud software producten zoals CRM systemen en CSM systemen. De volledige applicatie en haar features worden getest op kwetsbaarheden. Steeds meer mensen kiezen voor software producten van derden en maken niet eigenhandig meer een webwinkel. Lees meer informatie over een web applicatie pentest.

3. Social Engineering pentest

Dit een pentest die gericht is op de menselijke kant van een bedrijf of organisatie. Een hacker zal medewerkers proberen te manipuleren om op deze wijze belangrijke gegevens afhandig te maken die nodig zijn voor een succesvolle hack. Veel voorkomende methodes hiervoor zijn onder andere phishing attacks of mensen die zich voordoen als een collega met bijvoorbeeld een look alike email adres.

Een penetratietest in 6 in stappen

Het vergt enige voorbereiding om een pentest succesvol uit te voeren. Hieronder lees je het hele proces van een pentest in 7 stappen.

1. Informatie verkrijgen - Allereerst moet het gekozen pentest bureau in afstemming met de opdrachtgever de nodige informatie verzamelen voor de scope van de pentest. Hier wordt ook bepaald welke methode wordt toegepast (black-box, white-box of grey-box).
2. Verkenning - Naast de gegevens die de ethisch hacker ontvangt van het bedrijf zal hij of zij ook online opzoek gaan. Mogelijk is er gevoelige informatie elders te vinden. Deze stap wordt vaak toegepast bij interne en externe pentesten en niet zozeer bij web applicatie pentesten.
3. Inventariseren en analyseren - De totaliteit aan verkregen informatie uit stap 1 en 2 wordt nu geïnventariseerd en geanalyseerd. Er wordt gekeken hoe de aanval het beste kan worden uitgevoerd en waar de mogelijke zwakke punten liggen.
4. Vulnerability Assessment - Voordat de hacker zelf aan het werk gaat wordt een vulnerability scan uitgevoerd. Dit geeft een snelle weergave van potentiële gevaren. Dit is mogelijk de eerste aanleiding voor een hacker om te beginnen. Een vulnerability assessment is zeker geen vervanging voor een pentest.
5. Hacken - Dit is waar de actie gebeurt! Na de inventarisatie en de vulnerability assessment uit stap 3 en 4 is het nu aan de hacker om handmatig aanvallen uit te voeren op het systeem.
6. Afronding analyse en review - Het hacken is uitgevoerd. Er wordt een rapport opgesteld met daarin de methodes die zijn gebruikt, de kwetsbaarheden die zijn gevonden en op welke manier dit is gebeurd. Het rapport bevat ook advies over hoe de problemen opgelost kunnen worden en de IT security top-notch gemaakt kan worden.