Penetratietest

Een pentest toets één of meer computersystemen op kwetsbaarheden. In een uitgebreid rapport brengen onze Ethical Hackers mogelijke kwetsbaarheden aan het licht.

Uitgebreide test

Ervaring, zo wordt gezegd, is de beste leermeester. Daarom is de beste manier om te achterhalen wat voor schade een hacker kan aanrichten simpel: laat u hacken. Onze security experts kunnen u deze ervaring geven zonder ooit uw data daadwerkelijk in gevaar te brengen.

De penetratietest beproeft uw systemen, netwerken en applicaties op het niveau en de mate van hun security, maar biedt ook de mogelijkheid om uw medewerkers te toetsen op hun oplettendheid en kennis van online security praktijken en goede gewoontes. Deze test kan plaatsvinden op afstand of op locatie. Wanneer u uw medewerkers wilt testen op oplettendheid, bijvoorbeeld door phishing, kan dit uiteraard op afstand, maar wanneer u uw kantoornetwerken wilt testen, zal dat op locatie gebeuren.

Duidelijk en toepasbaar advies

Alle bevindingen worden voor u samengevat in een overzichtelijk rapport.

Kwetsbaarheden testen

Gevonden kwetsbaarheden worden tegen het licht gehouden om zeker te zijn dat zij een gevaar kunnen vormen.

Denken als een hacker

Onze security consultants weten goed hoe iemand misbruik zou kunnen maken van kwetsbaarheden in uw netwerk of applicatie.

Uitgebreide analyse

De vulnerability scan wordt gebruikt als basis voor een diepgaande scan van uw systeem.

Direct meer informatie?
Informeer bij onze consultants: +31 (0)20 7881030

Inbreken op afspraak

Samen met ons team bepaalt u eerst de scope van het onderzoek. Afhankelijk van uw wensen en verwachtingen van de test kunnen onze security consultants op locatie komen om de test uit te voeren. Nadat de test is voltooid, ontvangt u een overzichtelijk rapport waarin exact staat aangegeven welke kwetsbaarheden zijn gevonden, met bewijs van de inbraak, en hoe deze op te lossen zijn.

Periodieke assessment

Een penetratietest kan op verschillende momenten toegepast worden, bijvoorbeeld wanneer u een nieuwe applicatie of systeem heeft. Maar het kan ook een periodieke assessment zijn om preventief uw beveiliging te controleren en waar nodig te versterken.

Wat is een pentest?

Bij een penetratietest, ook wel pentest genoemd, gebruiken onze ethical hackers allerhande middelen om toegang te verkrijgen tot uw systemen om eventuele kwetsbaarheden bloot te leggen waarbij vooraf bepaald is welke systemen in de pentest zijn opgenomen.

Naast geautomatiseerde scanners maken we vooral gebruik van de expertise van onze pentesters. Deze zullen per opdracht dieper proberen door te dringen in de applicatie of het netwerk. Welke poorten staan open, welke informatie valt hieruit te onttrekken en bestaan er exploits voor de desbetreffende software. Ook programmeerfouten, rechten controles of de mogelijkheid om sessies over te nemen horen hierbij. De websites/applicatie worden standaard gecontroleerd met de OWASP 2017 methode. Dit houdt in dat de webapplicatie getest wordt op de 10 meest belangrijke soorten kwetsbaarheden.

Geen situatie is hetzelfde. De expertise van onze Ethical Hackers maakt vaak het verschil tussen het vinden van de “standaard” kwetsbaarheden en kwetsbaarheden die specifiek voor uw situatie gelden.

Pentest

Waarom pentesten laten uitvoeren?

Een pentest levert inzichten waarmee een organisatie de informatiebeveiliging kan versterken. Zo kan het de kwetsbaarheden van een nieuwe server, webapplicatie of website in kaart brengen. In andere gevallen kan het waardevol zijn om een goed beeld te verkrijgen van het algehele beveiligingsniveau van de organisatie.

Wees hackers een stap voor
Beheer risico's
Behoud controle op de infrastructuur
Bevorderen van compliance (AVG, ISO 27001, PCI-DSS etc)
Proactief beveiligen (Offensive Security)
Het doel van een pentest is het inzichtelijk maken van het huidige veiligheidsniveau en adviseren om deze te verhogen met passende maatregelen.

Drie strategieën

Pentest boxen

Blackbox

De ethical hacker heeft 0% voorkennis. De Pentest wordt uitgevoerd als aanvaller.

Greybox

De ethical hacker heeft 50% voorkennis. Alleen de scope is bekend.

Whitebox

De ethical hacker heeft 100% kennis van de opdracht/applicatie. Deze is bijvoorbeeld in het bezit van inloggegevens en bekend zijn met de situatie achter de server.

Waarom Networking4all?

Onze ethische hackers hebben jaren ervaring op het gebied van cyber security. Networking4all onderscheidt zich door het bieden van totale ontzorging en optimale begeleiding tijdens het traject. We bepalen vooraf duidelijk de scope, de aanpak en de doelstellingen van de pentest voor een maximaal resultaat. Onze rapportages zijn helder en in begrijpelijke taal opgesteld.

Lees meer over onze rapportage op onze blog.

Rapport van de Ethical Hacker
  • Professionele ethische hackers met 5+ jaar ervaring
  • Penetration Testing As A Service
  • Advies bij bepaling onderzoeksvraag
  • Optimale klantbegeleiding van begin tot eind
  • Klantvriendelijke rapportage
  • Presentatie/advies op locatie mogelijk
  • Flexibel

Stappenplan

Tijdens de intake bepalen we de onderzoeksvraag, de scope (reikwijdte), de planning en de doorlooptijd van de test.

Onderzoeksvraag

De onderzoeksvraag staat centraal. Het is belangrijk om in kaart te brengen wat u aangetoond wilt hebben met een pentest. Op welke vraag wilt u antwoord?

Een onderzoeksvraag kan zijn:

Is de webapplicatie veilig bevonden?
Zijn de functionaliteiten goed afgestemd op de gebruikersrol?

Scopebepaling

In de scope leggen we het testobject (systeem/omgeving/applicatie) vast en wat we wel en niet mogen testen. Aan de hand van een vragenlijst wordt de scope bepaald. Wij adviseren om de gehele infrastructuur in de scope op te nemen om zo risico’s uit te sluiten. Indien een een onderdeel niet getest mag worden zullen wij dit tevens expliciet vermelden in de scope.

Voorafgaand aan het uitvoeren van de pentest tekent u een vrijwaringsverklaring (Pentest waiver). Hierin verklaart de opdrachtgever akkoord te zijn met de test waarbij zonder inloggegevens wordt geprobeerd toegang te verkrijgen tot de systemen.

Planning

Wanneer mogen we de test uitvoeren? Dit kan op een aantal vaste dagen of een periode van een paar weken zijn. Zaken om rekening mee te houden:

Momenten waarop niet getest mag worden.
Wie is TIJDENS de pentest de contactpersoon binnen het bedrijf?

Doorlooptijd

Hoe lang mogen we testen?
Afhankelijk van de scope bepaalt de pentester samen met de klant hoeveel tijd nodig is.

 

Verkenning

In deze fase maken we een inventarisatie van het doel, voeren diverse scans uit en zorgen dat we alles duidelijk in kaart hebben gebracht voordat we starten.

Go / No Go

Als er in de verkenningsfase ernstige lekken worden gevonden, bestaat de mogelijkheid om de pentest op te schorten. Nadat deze kwetsbaarheden zijn opgelost wordt de pentest hervat.

Uitvoering

In deze fase wordt de test in al zijn facetten uitgevoerd.

Rapportage

De resultaten uit de Pentest worden door de ethical hacker vastgelegd in zijn rapportage.

Rapportage & advies

De rapportage bestaat in twee vormen, te weten een uitgebreide variant die gedeeld kan worden met uw klanten en een rapportage voor intern gebruik. U kunt aangeven welke variant u wenst. Alle gevonden kwetsbaarheden worden geclassificeerd aan de hand van het CVSS (Common Vulnerability Scoring System) 3.0 systeem. Elk rapport wordt nogmaals gecontroleerd door een tweede Security Specialist/Ethical hacker en tot slot door een communicatie specialist. Vervolgens wordt het document beveiligd met u gedeeld en besproken. Indien gewenst presenteren wij de bevindingen en adviezen bij u op locatie.

PTaaS - Penetration Testing as a Service

Naast de standaard Pentest bieden wij ook PTaaS aan. PTaaS is een pentest in abonnementsvorm. Meerdere malen per jaar zal er een pentest worden uitgevoerd. Dit kan interessant zijn voor klanten die graag regelmatig pentesten wil laten uitvoeren. En in het bijzonder voor klanten welke B2B oplossingen aanbieden waarbij potentiële klanten bewijs van penetratietesten eisen alvorens over te gaan tot zakendoen.

Voordelen van PTaaS:
Direct kunnen overhandigen van een Pentest Rapport
Veel kortere herstelcycli
Dynamische rapportage
Snellere detectie en installatie van software updates
Gespreid betalen in plaats van eenmalig een groot bedrag

Pentest Kosten

Een pentest wordt uitgevoerd op basis van de afgesproken scope. De kosten zijn hierdoor afhankelijk van de omvang van de te testen omgeving(en). Hieronder vindt u ons Pentest uurtarief en de Penetration Testing as a Service varianten.

Eenmalige Pentest

Ons uurtarief bedraagt 140 euro ex btw. Na oplevering kunt u ervoor kiezen om dezelfde scope op later moment te laten her-pentesten om zo uw verbeteringen te valideren. U krijgt 25% korting op onze her-pentest.

Penetration Testing as a Service (PTaaS)

PTaaS is een 1 jarig serviceabonnement welke we aanbieden in 3 varianten:

6x per jaar
4x per jaar
2x per jaar

De maandelijkse kosten zijn gebaseerd op de scope waarbij voor de 1e pentest het normale tarief wordt gerekend. De vervolg pentesten worden uitgevoerd met 25% korting.

FAQ

Hoe lang duurt een pentest?

Dit is afhankelijk van de scope. Elke website/infrastructuur is anders, denk hierbij aan de grootte, functies etc. Hierop baseren wij hoeveel tijd hieraan wordt besteed inclusief rapportage.

Hoe grondig is een pentest?

De pentest wordt afgestemd op de wensen van de klant. Wil de klant bijvoorbeeld een korte pentest op 1 bepaalde url dan wordt deze getest op alle kwetsbaarheden. Wij gaan grondig te werk en gaan nooit blindelings af op een rapport van een automatische scanner. Wij hebben de voorkeur om alles met de hand te testen, omdat je op deze manier meer ziet en dieper kan testen wat een eventuele scanner misschien niet kan.

Voortraject van een pentest?
Getekende vrijwaringsverklaring (plus eventueel een NDA)
Stel alle betrokkenen op de hoogte van de pentest
Zorg voor een goede backup voor aanvang van de pentest
Zorg voor VPN verbindingen of IP whitelistings
Indien nodig, testaccounts beschikbaar stellen
Bij voorkeur gebruik maken van een testomgeving om de live omgeving niet te verstoren tijdens de pentest. Denk hierbij aan een (exacte) kopie van de live omgeving
Onze site staat in de cloud, Is een pentest dan wel nuttig?

Een pentest is ook nuttig als de site in de cloud staat, ook op een website in de cloud kunnen er kwetsbaarheden voorkomen. Bijvoorbeeld bepaalde software/plugins in de cloud zouden up to date gehouden moeten worden door de hoster. Maar er kunnen ook malafide plugins inzitten, waardoor je alsnog kwetsbaar bent.

Mijn organisatie beschikt over vertrouwelijke data. Is deze in goede handen bij een pentester?

Alle eventuele data (denk aan screenshots, inlogdata e.d.) die de pentester/ethical hacker heeft verzameld tijdens zijn/haar test, worden na het versturen van het rapport volledig vernietigd. Wij gaan logischerwijs vertrouwelijk om met uw data. Deze wordt enkel op uw verzoek vrijgegeven.

Wat gebeurt er met de uitkomsten van een pentest?

Van de uitkomsten uit de pentest wordt een rapportage gemaakt. Vervolgens wordt er op locatie bij de klant een presentatie en bijbehorende adviezen gegeven van onze security consultants. Het rapport wordt opgeslagen in een beveiligde omgeving in combinatie met tweestapsverificatie waar alleen de leden van het security team bij kunnen. Het rapport blijft 18 maanden bewaard, tenzij u ons verzoekt het rapport te verwijderen. Tot slot wordt het rapport beveiligd digitaal verzonden. De uitkomsten zijn op dat moment relevant, er kan desgevraagd het volgende kwartaal een her-pentest gedaan worden, waarbij de rapportages bijgewerkt worden met de resultaten uit deze tweede pentest.

Networking4all is een ervaren professional op het gebied van cybersecurity.
Wij gaan graag met u in gesprek om de mogelijkheden voor uw specifieke situatie te bespreken. Informeer bij onze consultants via +31 (0)20 7881030 / sales@networking4all.com

Wilt u meer informatie?
Neem vandaag nog contact op.

{{ notification.title }}

Lees diepgaande artikelen

Leer meer over online security, onze producten en diensten, en ontwikkelingen in de online security branche op ons blog en in onze whitepapers.

Bezoek ons blog

Download whitepapers

Inschrijven nieuwsbrief

Samenwerken

Networking4all is klaar om de volgende vermelding in onze tijdlijn te maken. We willen u graag in de volgende stap opnemen als onze partner. Wilt u meer weten over onze missie en de mogelijkheid van een partnerschap?