waar ben je naar op zoek?

Search
Generic filters
Exact matches only
Search in title
Search in content
Search in excerpt

penetratietest

Met een penetratietest controleren wij de weerbaarheid van de geïmplementeerde technische maatregelen.

neem contact op
X Achtergrond

Is het voor een kwaadwillende mogelijk om door manipulatie van de techniek, toegang te krijgen tot jouw parels?

Iedere organisatie heeft bepaalde parels in haar bezit. Voor de een is dit de data van haar eigen personeel, haar cliënten of patiënten. Een ander bezit misschien wel veel informatie over ons als burgers. Hoe het ook zij, voor een hacker is deze data van onschatbare waarde. Met een penetratietest controleren wij de weerbaarheid van de geïmplementeerde technische maatregelen. De onderzoeksvraag hierbij is simpel – is het voor een malafide actor mogelijk om door manipulatie van de techniek, toegang te krijgen tot jouw parels? En zo ja, hoe?!

De ilionx aanpak

ilionx heeft een standaard aanpak voor penetratietesten die gebaseerd is op best practices en industriestandaarden (o.a. OWASP, PTES, SANS, NIST, NCSC-NL, DigiD). De ethische hackers passen deze aanpak toe tijdens alle uit te voeren penetratietesten. Door deze aanpak werkt ilionx op een gestructureerde manier en laat ilionx op een realistische wijze zien waar de kwetsbaarheden en risico’s in het te onderzoeken doel zitten.

Van intake naar hoger niveau van Security Maturity

Het model hieronder beschrijft de vijf stappen die ilionx doorloopt bij het uitvoeren van penetratietests.

 

penetratietest

Stap 1 – Intake

Een goede afstemming is voor ilionx de basis om een penetratietest goed uit te kunnen voeren. Dit begint met een heldere afbakening van de scope van de opdracht. Na de afstemming worden de scope, de afspraken met betrekking tot de test en de voorwaarden samen vastgesteld.

Stap 2 – Informatie verzamelen

De penetratietest start met een fase waarin zoveel mogelijk informatie over het doel wordt verzameld. Dit om een zo goed mogelijk beeld te verkrijgen van het doel en om potentiële kwetsbaarheden in kaart te brengen.

Stap 3 – Kwetsbaarheden onderzoek

In deze fase onderzoeken onze ethische hackers het doel op bekende en onbekende kwetsbaarheden. Indien de ethische hackers een potentiële kwetsbaarheid vinden, dan verifiëren ze deze om vast te stellen of deze misbruikt kan worden door een malafide actor. Na identificatie en validatie classificeert de ethische hacker de kwetsbaarheid en neemt deze met voldoende detail op in de eindrapportage.

Stap 4 – Kwetsbaarheden uitbuiten

Nadat kwetsbaarheden zijn geïdentificeerd en geverifieerd buit de ethische hacker de kwetsbaarheden uit om initiële toegang tot het systeem te verkrijgen. Na initiële toegang kan de ethische hacker de stap zetten om nieuwe kwetsbaarheden te identificeren om zo meer toegang te krijgen (privilege escalation).

Door kwetsbaarheden daadwerkelijk uit te buiten, wordt de impact van een kwetsbaarheid inzichtelijk. De ethische hacker houdt de activiteiten nauwkeurig bij, zodat de informatie kan worden gebruikt in de eindrapportage. De ethische hacker beschrijft elke succesvolle uitbuiting in voldoende detail, zodat de aanval te reproduceren valt.

Stap 5 – Rapportage

De laatste fase van de penetratietest is de rapportagefase. In de rapportagefase verwerkt de ethische hacker alle resultaten tot een leesbaar rapport. Het doel van de rapportage is om diverse stakeholders inzicht te geven in de gevonden kwetsbaarheden en risico’s.

De rapportage is opgesplitst in twee delen: de managementsamenvatting en de technische rapportage.

Uit de managementsamenvatting moet vooral blijken of de onderzoeksvragen zijn beantwoord, de risicoscore van het onderzochte doel, bevindingen op hoofdniveau en een samenvatting van de penetratietest. De technische rapportage heeft tot doel om op detailniveau inzicht te geven in de resultaten van de penetratietest.

Elke kwetsbaarheid:

  • is geclassificeerd (kans x impact) volgens de methodiek in Bijlage I;
  • heeft een gecalculeerde Common Vulnerability Scoring System (CVSS) score;
  • is gecategoriseerd op basis van Open Web Application Security Project (OWASP) en STRIDE (dreigingsmodel);
  • bevat een overzicht van de getroffen systemen/applicaties/URL’s;
  • heeft een duidelijke omschrijving;
  • bevat bewijs hoe de kwetsbaarheid is ontdekt (screenshots, commando’s en Proof of Concept exploitcode);
  • bevat een aanbeveling hoe de kwetsbaarheid te mitigeren is.
Link gekopieërd