penetratietest
Met een penetratietest controleren wij de weerbaarheid van de geïmplementeerde technische maatregelen.
neem contact opMet een penetratietest controleren wij de weerbaarheid van de geïmplementeerde technische maatregelen.
neem contact opIedere organisatie heeft bepaalde parels in haar bezit. Voor de een is dit de data van haar eigen personeel, haar cliënten of patiënten. Een ander bezit misschien wel veel informatie over ons als burgers. Hoe het ook zij, voor een hacker is deze data van onschatbare waarde. Met een penetratietest controleren wij de weerbaarheid van de geïmplementeerde technische maatregelen. De onderzoeksvraag hierbij is simpel – is het voor een malafide actor mogelijk om door manipulatie van de techniek, toegang te krijgen tot jouw parels? En zo ja, hoe?!
ilionx heeft een standaard aanpak voor penetratietesten die gebaseerd is op best practices en industriestandaarden (o.a. OWASP, PTES, SANS, NIST, NCSC-NL, DigiD). De ethische hackers passen deze aanpak toe tijdens alle uit te voeren penetratietesten. Door deze aanpak werkt ilionx op een gestructureerde manier en laat ilionx op een realistische wijze zien waar de kwetsbaarheden en risico’s in het te onderzoeken doel zitten.
Het model hieronder beschrijft de vijf stappen die ilionx doorloopt bij het uitvoeren van penetratietests.
Stap 1 – Intake
Een goede afstemming is voor ilionx de basis om een penetratietest goed uit te kunnen voeren. Dit begint met een heldere afbakening van de scope van de opdracht. Na de afstemming worden de scope, de afspraken met betrekking tot de test en de voorwaarden samen vastgesteld.
Stap 2 – Informatie verzamelen
De penetratietest start met een fase waarin zoveel mogelijk informatie over het doel wordt verzameld. Dit om een zo goed mogelijk beeld te verkrijgen van het doel en om potentiële kwetsbaarheden in kaart te brengen.
Stap 3 – Kwetsbaarheden onderzoek
In deze fase onderzoeken onze ethische hackers het doel op bekende en onbekende kwetsbaarheden. Indien de ethische hackers een potentiële kwetsbaarheid vinden, dan verifiëren ze deze om vast te stellen of deze misbruikt kan worden door een malafide actor. Na identificatie en validatie classificeert de ethische hacker de kwetsbaarheid en neemt deze met voldoende detail op in de eindrapportage.
Stap 4 – Kwetsbaarheden uitbuiten
Nadat kwetsbaarheden zijn geïdentificeerd en geverifieerd buit de ethische hacker de kwetsbaarheden uit om initiële toegang tot het systeem te verkrijgen. Na initiële toegang kan de ethische hacker de stap zetten om nieuwe kwetsbaarheden te identificeren om zo meer toegang te krijgen (privilege escalation).
Door kwetsbaarheden daadwerkelijk uit te buiten, wordt de impact van een kwetsbaarheid inzichtelijk. De ethische hacker houdt de activiteiten nauwkeurig bij, zodat de informatie kan worden gebruikt in de eindrapportage. De ethische hacker beschrijft elke succesvolle uitbuiting in voldoende detail, zodat de aanval te reproduceren valt.
Stap 5 – Rapportage
De laatste fase van de penetratietest is de rapportagefase. In de rapportagefase verwerkt de ethische hacker alle resultaten tot een leesbaar rapport. Het doel van de rapportage is om diverse stakeholders inzicht te geven in de gevonden kwetsbaarheden en risico’s.
De rapportage is opgesplitst in twee delen: de managementsamenvatting en de technische rapportage.
Uit de managementsamenvatting moet vooral blijken of de onderzoeksvragen zijn beantwoord, de risicoscore van het onderzochte doel, bevindingen op hoofdniveau en een samenvatting van de penetratietest. De technische rapportage heeft tot doel om op detailniveau inzicht te geven in de resultaten van de penetratietest.
Elke kwetsbaarheid: