Penetratietest

Met een penetratietest controleren wij de weerbaarheid van de geïmplementeerde technische maatregelen.

Neem contact op

Is het voor een kwaadwillende mogelijk om door manipulatie van de techniek, toegang te krijgen tot jouw parels?

Iedere organisatie heeft bepaalde parels in haar bezit. Voor de een is dit de data van haar eigen personeel, haar cliënten of patiënten. Een ander bezit misschien wel veel informatie over ons als burgers. Hoe het ook zij, voor een hacker is deze data van onschatbare waarde. Met een penetratietest controleren wij de weerbaarheid van de geïmplementeerde technische maatregelen. De onderzoeksvraag hierbij is simpel – is het voor een kwaadwillende mogelijk om door manipulatie van de techniek, toegang te krijgen tot jouw parels? En zo ja, hoe?!

De ilionx approach

We hebben bij ilionx een standaardaanpak voor pentesten die gebaseerd is op best practices uit de markt. Onze ethische hackers passen deze aanpak toe op alle uit te voeren pentesten. Zo werken wij op een gestructureerde manier en bieden wij de zekerheid dat alle mogelijke kwetsbaarheden worden onderzocht.

Van intake naar hoger niveau van Security Maturity

Het model hieronder beschrijft de zes stappen die ilionx doorloopt bij het uitvoeren van penetratietests.

Penetratietest

Stap 1 – Intake

In deze fase verzamelen wij alle benodigde informatie om tot een goed beeld te komen van de te testen omgeving. Wij bepalen een onderzoeksvraag die minimaal beantwoord dient te worden en spreken een time-box af waarbinnen onze hackers creatief te werk mogen gaan.

Stap 2 – Uitvoering Penetratietest

Tijdens de daadwerkelijke test onderzoeken onze ethische hackers de mogelijkheden om in te breken en wat zij met de data kunnen doen, zoals datamanipulatie. Dit doen zij door op basis van de OWASP top 10 Application Security Risks de zwakheden van de webapplicatie of infrastructuur te onderzoeken. Daarnaast maken zij indien nodig of gewenst gebruik van SANS top 25. Voor het uitvoeren van de pentest hanteren wij het vier-ogen-principe.

Stap 3 – Rapportage van een Penetratietest

Per bevinding maken wij een beschrijving hoe deze tot stand is gekomen en de gradatie van de inspanning en kennis die nodig is om deze kwetsbaarheid te vinden en te misbruiken. In het rapport nemen wij ook de testen op waaruit geen bevindingen zijn gekomen.

Een rapportage bevat ten minste:

–          Inzicht in mogelijkheden om het systeem te kunnen compromitteren

–          Inzicht in weerbaarheid van de systemen ten opzichte van best practices en gangbare normen

–          Correlatie op afhankelijkheden (stepping stones)

–          Overzicht van het totaalaantal kwetsbaarheden opgedeeld in vijf risiconiveaus

Stap 4 – Presenteren van bevindingen

De rapportage die ilionx oplevert is een handmatige check en interpretatie van de geconstateerde zaken. Per constatering wordt bepaald wat de bijbehorende aanbeveling is en hoe de constatering gemitigeerd kan worden. Onze hackers presenteren hun bevindingen op locatie en nemen ruim de tijd om vragen te beantwoorden en adviezen toe te lichten.

Stap 5 – Her-test

Na afronding van het toepassen van de maatregelen zal er een nieuwe test plaatsvinden over de gevonden kwetsbaarheden. Hierin wordt zekerheid gegeven dat de genomen maatregelen afdoende zijn.

Stap 6 – Security Maturity

Na het uitvoeren van de her-test wordt vastgesteld of de geadviseerde maatregelen correct zijn uitgevoerd en de geconstateerde kwetsbaarheden zijn teruggebracht naar een acceptabel risiconiveau. De beoogde basis van security is op dat moment bereikt en er is sprake van een volledige auditrail. (PDCA-cyclus)

Link gekopieërd