Is het voor een kwaadwillende mogelijk om door manipulatie van de techniek, toegang te krijgen tot jouw parels?
Iedere organisatie heeft bepaalde parels in haar bezit. Voor de een is dit de data van haar eigen personeel, haar cliënten of patiënten. Een ander bezit misschien wel veel informatie over ons als burgers. Hoe het ook zij, voor een hacker is deze data van onschatbare waarde. Met een penetratietest controleren wij de weerbaarheid van de geïmplementeerde technische maatregelen. De onderzoeksvraag hierbij is simpel – is het voor een malafide actor mogelijk om door manipulatie van de techniek, toegang te krijgen tot jouw parels? En zo ja, hoe?!
De ilionx aanpak
ilionx heeft een standaard aanpak voor penetratietesten die gebaseerd is op best practices en industriestandaarden (o.a. OWASP, PTES, SANS, NIST, NCSC-NL, DigiD). De ethische hackers passen deze aanpak toe tijdens alle uit te voeren penetratietesten. Door deze aanpak werkt ilionx op een gestructureerde manier en laat ilionx op een realistische wijze zien waar de kwetsbaarheden en risico’s in het te onderzoeken doel zitten.
Van intake naar hoger niveau van Security Maturity
Het model hieronder beschrijft de vijf stappen die ilionx doorloopt bij het uitvoeren van penetratietests.
Stap 1 – Intake
Een goede afstemming is voor ilionx de basis om een penetratietest goed uit te kunnen voeren. Dit begint met een heldere afbakening van de scope van de opdracht. Na de afstemming worden de scope, de afspraken met betrekking tot de test en de voorwaarden samen vastgesteld.
Stap 2 – Informatie verzamelen
De penetratietest start met een fase waarin zoveel mogelijk informatie over het doel wordt verzameld. Dit om een zo goed mogelijk beeld te verkrijgen van het doel en om potentiële kwetsbaarheden in kaart te brengen.
Stap 3 – Kwetsbaarheden onderzoek
In deze fase onderzoeken onze ethische hackers het doel op bekende en onbekende kwetsbaarheden. Indien de ethische hackers een potentiële kwetsbaarheid vinden, dan verifiëren ze deze om vast te stellen of deze misbruikt kan worden door een malafide actor. Na identificatie en validatie classificeert de ethische hacker de kwetsbaarheid en neemt deze met voldoende detail op in de eindrapportage.
Stap 4 – Kwetsbaarheden uitbuiten
Nadat kwetsbaarheden zijn geïdentificeerd en geverifieerd buit de ethische hacker de kwetsbaarheden uit om initiële toegang tot het systeem te verkrijgen. Na initiële toegang kan de ethische hacker de stap zetten om nieuwe kwetsbaarheden te identificeren om zo meer toegang te krijgen (privilege escalation).
Door kwetsbaarheden daadwerkelijk uit te buiten, wordt de impact van een kwetsbaarheid inzichtelijk. De ethische hacker houdt de activiteiten nauwkeurig bij, zodat de informatie kan worden gebruikt in de eindrapportage. De ethische hacker beschrijft elke succesvolle uitbuiting in voldoende detail, zodat de aanval te reproduceren valt.
Stap 5 – Rapportage
De laatste fase van de penetratietest is de rapportagefase. In de rapportagefase verwerkt de ethische hacker alle resultaten tot een leesbaar rapport. Het doel van de rapportage is om diverse stakeholders inzicht te geven in de gevonden kwetsbaarheden en risico’s.
De rapportage is opgesplitst in twee delen: de managementsamenvatting en de technische rapportage.
Uit de managementsamenvatting moet vooral blijken of de onderzoeksvragen zijn beantwoord, de risicoscore van het onderzochte doel, bevindingen op hoofdniveau en een samenvatting van de penetratietest. De technische rapportage heeft tot doel om op detailniveau inzicht te geven in de resultaten van de penetratietest.
Elke kwetsbaarheid:
is geclassificeerd (kans x impact) volgens de methodiek in Bijlage I;
heeft een gecalculeerde Common Vulnerability Scoring System (CVSS) score;
is gecategoriseerd op basis van Open Web Application Security Project (OWASP) en STRIDE (dreigingsmodel);
bevat een overzicht van de getroffen systemen/applicaties/URL’s;
heeft een duidelijke omschrijving;
bevat bewijs hoe de kwetsbaarheid is ontdekt (screenshots, commando’s en Proof of Concept exploitcode);
bevat een aanbeveling hoe de kwetsbaarheid te mitigeren is.
Cookies zijn kleine tekstbestanden die door websites kunnen worden gebruikt om gebruikerservaringen efficiënter te maken.
Volgens de wet mogen wij cookies op uw apparaat opslaan als ze strikt noodzakelijk zijn voor het gebruik van de site. Voor alle andere soorten cookies hebben we uw toestemming nodig.
Deze website maakt gebruik van verschillende soorten cookies. Sommige cookies worden geplaatst door diensten van derden die op onze pagina’s worden weergegeven.
Via de cookieverklaring op onze website kunt u uw toestemming op elk moment wijzigen of intrekken.
In ons privacybeleid vindt u meer informatie over wie we zijn, hoe u contact met ons kunt opnemen en hoe we persoonlijke gegevens verwerken.
Strikt noodzakelijk
Strikt Noodzakelijke Cookie moet te allen tijde worden ingeschakeld, zodat we uw voorkeuren voor cookie-instellingen kunnen opslaan.
Cookie naam
Beschrijving
Duur
pll_language
Deze cookie wordt gebruikt om de taal van de website te bepalen.
1 jaar
cookiesession1
cookiessession1 wordt gebruikt om een optimale website-ervaring te bieden door middel van de volgende items:
- Network equipment failover session persistence;
- client tracking;
- Logging aggregation to a client;
- Security features such as DOS protection;
- Session timeout.
1 jaar
moove_gdpr_popup
Deze cookie wordt gebruikt om de cookie voorkeuren op te slaan
1 jaar
Google Analytics
Cookie naam
Beschrijving
Duur
_ga
Wordt gebruikt om gebruikers te onderscheiden.
2 jaar
_gid
Wordt gebruikt om gebruikers te onderscheiden.
24 uur
_gat
Wordt gebruikt om de aanvraagsnelheid te vertragen. Als Google Analytics wordt geïmplementeerd via Google Tag Manager, krijgt deze cookie de naam _dc_gtm_<property-id>.
1 minuut
AMP_TOKEN
Bevat een token dat kan worden gebruikt om een klant-ID op te halen bij de AMP-client-ID-service. Andere mogelijke waarden duiden op opt-out, verzoek aan boord of een fout bij het ophalen van een klant-ID van de AMP-client-ID-service.
30 seconden tot 1 jaar
_gac_<property-id>
Bevat campagnegerelateerde informatie voor de gebruiker. Als u uw Google Analytics- en Google Ads-accounts heeft gekoppeld, zullen Google Ads-websiteconversietags deze cookie lezen, tenzij u zich afmeldt. Kom meer te weten.
90 dagen
_gcl_au
Gebruikt door Google AdSense om te experimenteren met de efficiëntie van advertenties op websites die hun services gebruiken.
3 maanden
CPSESSIONID
Gebruikt voor analyse van websitegebruik om gebruikerssessies te onderscheiden.
30 minuten
CPUSERID
Gebruikt voor analyse van websitegebruik en personalisatie om gebruikers te onderscheiden.
900 dagen
CPSESSIONEXP
Gebruikt voor analyse van websitegebruik en personalisatie om gebruikers te onderscheiden.
30 minuten
Marketing
De volgende marketing cookies worden gebruikt:
Hotjar
Cookie naam
Beschrijving
Duur
_hjClosedSurveyInvites
Deze cookie wordt geplaatst zodra een bezoeker interageert met een pop-upvenster met een enquête-uitnodiging. Het wordt gebruikt om ervoor te zorgen dat dezelfde uitnodiging niet opnieuw verschijnt als deze al is getoond.
1 jaar
_hjDonePolls
Deze cookie wordt geplaatst zodra een bezoeker een peiling voltooit met behulp van de Feedback Poll-widget. Het wordt gebruikt om ervoor te zorgen dat dezelfde peiling niet opnieuw verschijnt als deze al is ingevuld.
1 jaar
_hjMinimizedPolls
Deze cookie wordt geplaatst zodra een bezoeker een Feedback Poll-widget minimaliseert. Het wordt gebruikt om ervoor te zorgen dat de widget geminimaliseerd blijft wanneer de bezoeker door uw site navigeert.
1 jaar
_hjDoneTestersWidgets
Deze cookie wordt ingesteld zodra een bezoeker zijn informatie invoert in de widget Recruit User Testers. Het wordt gebruikt om ervoor te zorgen dat hetzelfde formulier niet opnieuw verschijnt als het al is ingevuld.
1 jaar
_hjMinimizedTestersWidgets
Deze cookie wordt geplaatst zodra een bezoeker een Recruit User Testers-widget minimaliseert. Het wordt gebruikt om ervoor te zorgen dat de widget geminimaliseerd blijft wanneer de bezoeker door uw site navigeert.
1 jaar
_hjDoneSurveys
Deze cookie wordt geplaatst zodra een bezoeker een enquête invult. Het wordt gebruikt om de inhoud van de enquête alleen te laden als de bezoeker de enquête nog niet heeft ingevuld.
1 jaar
_hjIncludedInSample
Deze cookie wordt geplaatst om Hotjar te laten weten of die bezoeker is opgenomen in de steekproef die wordt gebruikt om Heatmaps, Funnels, Recordings, etc. te genereren.
1 jaar
_hjShownFeedbackMessage
Deze cookie wordt geplaatst wanneer een bezoeker Inkomende Feedback minimaliseert of voltooit. Dit wordt gedaan zodat de inkomende feedback onmiddellijk als geminimaliseerd wordt geladen als ze naar een andere pagina navigeren waar deze is ingesteld om te worden weergegeven.
1 jaar
Onlinesucces.nl
Cookie naam
Beschrijving
Duur
logger
connect.onlinesucces.nl
365 days
Facebook
Naam
Doel
Vervaldatum
fr
Gebruikt door Facebook om een reeks advertentieproducten te leveren, zoals realtime bieden van externe adverteerders.
3 maanden
fbp
Gebruikt door Facebook om advertenties te leveren. De cookie bevat een versleutelde Facebook-gebruikers-ID en browser-ID. Het zal informatie van deze website ontvangen om advertenties beter af te stemmen en te optimaliseren.
3 maanden
Linkedin
Naam
Doel
Vervaldatum
ln_or
Gebruikt om te bepalen of analyse van Oribi kan worden uitgevoerd op een specifiek domein
1 dag
Schakel eerst strikt noodzakelijke cookies in om uw voorkeuren op te slaan!
