Je hebt het je vast weleens afgevraagd: zou het een hacker lukken om toegang te krijgen tot ons kantoornetwerk? Of tot een van onze (web)applicaties? En als de hacker eenmaal binnen is, wat kan hij of zij dan allemaal? Een pentest geeft de antwoorden op deze vragen. Er zijn verschillende soorten pentests, de beste oplossing is helemaal afhankelijk van de vraag van de klant. Wij kunnen hierin altijd helpen.
Wat is een pentest?
Een pentest (of penetration test) is een onderzoek waarbij een security specialist met een ‘hacker mindset’ alle mogelijke middelen en beschikbare informatie gebruikt om te ontdekken hoever een hacker kan binnendringen in een systeem. Ook wordt gekeken wat de mogelijke impact is van deze aanvallen. Een pentest is time-boxed, wat betekent dat het binnen een afgebakende tijd wordt uitgevoerd.
Een pentest kan worden uitgevoerd op een webapplicatie (website), intern netwerk of kantoornetwerk of op je gehele ICT-infrastructuur. Daarnaast kan een pentest of penetratietest als white box (de hacker krijgt van tevoren alle informatie over het systeem), black box (de hacker krijgt geen enkele informatie over het systeem) of grey box (de hacker krijgt beperkte informatie over het te testen systeem) pentest worden uitgevoerd.
Wat doen we bij een pentest?
Onze ethische hackers beginnen met het in kaart brengen van je systemen en het zogeheten "aanvalsoppervlak". Vervolgens richten ze zich op onderdelen die er interessant of kansrijk uitzien, en proberen hierin binnen te dringen. Hiervoor maken ze gebruik van een combinatie van reeds bekende kwetsbaarheden en kwetsbaarheden die ze ter plekke ontdekken, en van bewezen tools gecombineerd met zelfgebouwde oplossingen. Lukt dit, dan gaan ze na welke gevoelige informatie en toegang aanwezig is, en proberen ze verder binnen te dringen. Lukt dit niet, dan richten ze zich op het volgende systeem dat er interessant uitziet.
Onze security specialisten maken gebruik van een methodologie die uitgebreider is dan de OWASP test guide. Deze methodologie test onder andere op alle kwetsbaarheden in de OWASP Top 10.
Op deze manier simuleren ze de werkwijze van een hacker met kwade intenties, en maken ze duidelijk wat de impact kan zijn van een hack.
Wat krijg je na een pentest?
Het resultaat van een pentest bespreken we altijd in een persoonlijk gesprek. De Computest hacker maakt een zeer uitgebreid security rapport en overhandigt dit aan de klant. Tijdens het gesprek komen alle mogelijke kwetsbare punten aan de orde en worden indien nodig vervolgstappen besproken waarmee je je organisatie beter kunt beveiligen. Wanneer de hacker belangrijke kwetsbaarheden vindt tijdens de test zal hij uiteraard niet wachten op de rapportbespreking om deze te communiceren.
Onze specialisten blinken uit in hun betrokkenheid, flexibiliteit en social skills. Ondanks - of juist mede door - hun jarenlange ervaring zijn zij in staat om complexe materie in begrijpelijke taal over te brengen. Zij delen graag hun kennis om het security niveau van jouw organisatie te verhogen. Een rapportbespreking bij de klant op locatie is daarom een belangrijk onderdeel van al onze security tests. Hiermee zorgen we ervoor dat jij echt de volle waarde haalt uit de pentest.
Verschillende soorten security- of pentests?
De grote diversiteit aan terminologie binnen het security domein is verwarrend voor veel mensen. Veel termen overlappen elkaar en veel termen worden op andere wijze gebruikt of ingezet. Zelfs een pentest lijkt bij iedere leverancier iets anders te betekenen. Daarbij komen er nog alle standaarden waar je uit kunt kiezen en alle certificeringen. Wij merken dat veel organisaties die starten met security testen stoeien met deze uitdaging. Daarom schreven wij een blog met een aantal tips voor dit vraagstuk; Red, blue of purple teams en pen-, security-, vulnerability- of hacker-test?
Lees de ervaringen met Computest Pentest
Ieder bedrijf heeft zijn eigen, unieke aanpak nodig op het gebied van security - immers, wat voor de een een groot risico is, is voor een ander weer niet van toepassing. Hieronder staan businesscases van bedrijven die ook een pentest door Computest ethische hackers hebben laten uitvoeren. Lees daarin hoe zij onze aanpak waarderen en hoe Computest hen verder helpt hun veiligheid te vergroten.
AFAS heeft dagelijks een actueel inzicht in veiligheid door security tests zoals pentests en vulnerability assessments te combineren met een dagelijkse infrastructuur-scan.
Cryptocurrency-platform LiteBit versterkt security met met behulp van pentesting door Computest
Dankzij Computest garandeert Online Betaalplatform veilige betalingen
Gemeente Zoetermeer kan veilig flexwerken door security testing Computest
Pentest door ervaren ethische hackers aanvragen
Wil je weten wat we voor jou kunnen betekenen? Neem contact op via pentest@computest.nl of vul het contactformulier in en wij nemen binnen 1 werkdag contact met je op om je wensen en security vraagstukken in kaart te brengen.