Pentest

Omschrijving

Een pentest (penetratietest) is een zeer effectieve manier om te achterhalen hoe het met de veiligheid van uw IT systemen gesteld is. Met een pentest gaan onze ethische hackers op realistische wijze aan de slag met het inbreken op uw systemen.

Een pentest kan op verschillende manieren ingezet worden, maar het doel is altijd hetzelfde: kwetsbaarheden in kaart brengen. Onze gecertificeerde ethische hackers kijken naar de IT systemen zelf, naar de inrichting en naar de beveiliging. Waar kan ingebroken worden? Waar liggen de kwetsbaarheden? Daarnaast onderzoeken we ook de menselijke factor: zijn er kwetsbaarheden vanwege foutief of onzorgvuldig gebruik van systemen, apparatuur of applicaties?

Een pentest uitvoeren gaat (veel) verder dan het inzetten van de juiste tools. Een pentest is maatwerk. Daarom doen we voorafgaand aan een pentest onderzoek naar de randvoorwaarden. Wat is de aanleiding om een pentest te doen, zijn er (concrete) bedreigingen? Hoe ziet uw IT omgeving eruit en welke maatregelen zijn al genomen? Wat de uitdaging of situatie ook is, onze specialisten gaan graag met u in gesprek om een doordacht plan van aanpak op te stellen.

De inhoud

We volgen hierbij de ‘hack-cyclus’ die in de praktijk ook wordt gebruikt door black-hat hackers. Uiteraard doen wij dit veilig en verantwoord, zodat uw IT infrastructuur niet beschadigt. Op deze wijze kunnen wij bijvoorbeeld checken of u wel AVG-proof bent. Ook kunnen we signaleren of er al schadelijke software is geïnstalleerd en, het belangrijkste, we komen erachter of uw wel voldoende beveiligd bent.

Op basis van onze bevindingen adviseren wij u over technische en menselijke verbeterpunten. Wij zijn uiteraard in staat deze adviezen zelf uit te voeren, maar willen ook uw IT afdeling daarin ondersteunen.

De netwerk check

Tijdens de netwerk check testen onze specialisten alle objecten en eindpunten op uw netwerk. Denk aan servers, routers, werkstations, printers: alles met een IP adres wordt gecontroleerd en getest. Dit zijn ook bijvoorbeeld mobiele telefoons die toegang hebben tot uw cloud-diensten. Ook scannen we open poorten, we controleren welke software er achter een open poort actief is en we controleren waar deze niet of onvoldoende tegen is beschermd. We achterhalen of er software met reeds bekende kwetsbaarheden draait en of alle systemen goed beveiligd zijn.

De Netwerk Test wordt niet simpelweg alleen uitgevoerd met een security tool. We combineren de kracht van automatische en handmatige tests voor de meest accurate resultaten.

Ethisch hacken

Onze ethische hackers zijn beter in staat om uw systemen te hacken dan een ‘black-hat’ hacker. Dat komt omdat onze ethische hackers kennis hebben van binnenuit. Een black-hat hacker weet niets van uw bedrijf, IT structuur, beveiliging, enz. Een black-hat hacker moet dat zelf uitvinden en zijn kennis zal beperkt zijn.

Onze ethische hackers kunnen daarentegen uw IT systemen ook van binnenuit analyseren en onderzoeken. Op die manier kunnen zij nog meer risico’s in kaart brengen en betere maatregelen voorstellen. Onze ethische hackers staan eigenlijk 1-0 voor op black-hat hackers, wat goed is voor de kwaliteit die wij leveren.

Meer informatie over ethisch hacken vindt u op onze pagina over <a href=”https://www.secity.nl/diensten/ethisch-hacken”>ethisch hacken</a>.

Pentest vs. een holistische aanpak

Een Pentest richt zich doorgaans op één of een aantal onderdelen van uw IT structuur, maar niet op de gehele IT structuur. Ook onze pentesten zijn eigenlijk een soort steekproeven. Onze analyse houdt daar echter niet op.

Middels Red Teaming vallen we niet slecht bepaalde onderdelen van uw IT structuur aan, maar richten we ons op het geheel van uw IT omgeving.

We combineren verschillende maatregelen, zowel geautomatiseerd als handmatig. Op die manier kunnen we beter maatwerk leveren en een hogere kwaliteit aanbevelingen doen en maatregelen nemen.

Proces

Een netwerk security check hoort eigenlijk een periodieke audit te zijn. Uw IT infrastructuur veranderd namelijk regelmatig. Zo installeert u nieuwe software, voegt u nieuwe gebruikers toe en veranderd de hardware. Dit alles brengt nieuwe beveiligingsrisico’s met zich mee. 

Stap 1. Opstellen eisen

Tijdens de inventarisatie bepalen we samen met de opdrachtgever de scope van het onderzoek.

Stap 2. Afspraak

Wij nemen contact op om een datum af te spreken voor onze on-site inventarisatie. Hierbij komt een van onze IT security experts op locatie voor een inventarisatie en het bespreken van verschillende IT security onderwerpen.

Stap 3. Onze aanpak

We beginnen met enkele pentests waarmee we uw netwerk op verschillende manieren aanvallen. Nadat we een beeld hebben van de risico’s en zwakke plekken, proberen we daadwerkelijk uw netwerk binnen te dringen. Uiteraard op een veilige en onschadelijke wijze. Wel kijken we of we toegang kunnen krijgen tot secties die onbereikbaar zouden moeten zijn.

We testen zowel de techniek als de mensen. Zo kunnen we bijvoorbeeld onverwacht een phishing-attack uitvoeren om te zien hoe uw personeel reageert. We volgen hierbij een gestructureerde aanpak. We houden niet van een halve aanpak en zetten daadwerkelijk een concreet plan op om uw netwerk zowel aan te vallen als te beveiligen.

Stap 4. Rapportage

De audit resulteert in een uitgebreid rapport met operationele adviezen. Wij kunnen die adviezen zelf implementeren of in samenwerking met uw IT afdeling. Uiteraard geheel naar uw wens.

Mogelijke vervolgstappen

Als alle aanbevelingen zijn doorgevoerd is de omgeving vaak effectief beveiligd en zijn de risico’s op een hack afgenomen. Toch is het in veel gevallen raadzaam om aanvullende maatregelen te nemen.

Offerte aanvragen

Nu aanvragen