Er zijn drie soorten pentesten. Namelijk, een Black box pentest, een White box pentest en een Grey box pentest. Het verschil tussen de verschillende methodieken pentesten leggen we je graag uit op onze pentest pagina. Voor nu gaan we inzoomen op de grey box pentest. Wat is het? En wanneer gebruik je deze soort pentest?
Wat is een grey box pentest?
Een grey box pentest is een penetratietest waarbij de opdrachtgever de ethische hacker vooraf inloggegevens geeft voor het vinden van kwetsbaarheden. Maar er ook naar de kwetsbaarheden wordt gekeken zonder inloggegevens. Je kan het zien als een combinatie van een black box pentest en white box pentest.
Deze vorm van pentesten zorgt ervoor dat je een zo compleet mogelijk beeld krijgt van de kwetsbaarheden binnen de IT-omgeving. Het uitvoeren van dit soort pentesten is van enorm belang wanneer je informatie binnen je organisatie verwerkt. Op deze manier krijg je namelijk inzicht in de risico’s van je IT-omgevingen en kan je de informatie die verwerkt wordt beter beschermen.
Bij Surelock zien wij grey box pentesten dan ook vaak voorkomen, dit door de breedte en findings van deze vorm van pentesten. Benieuwd of een grey box pentest ook voor jouw organisatie werkt? Vraag dan een adviesgesprek aan met onze adviseurs.
Waarom een grey box pentest?
Een grey box pentest wordt vaak uitgevoerd om inzicht te krijgen op de kwetsbaarheden die beschikbaar zijn voor cybrcriminelen van buitenaf en kwetsbaarheden die beschikbaar zijn voor medewerkers. Met kwetsbaarheden voor medewerkers kan je bijvoorbeeld autorisatie nemen. Kan een marketing medewerker niet bij alle HR-gegevens van de organisatie waar hij voor werkt.
Bij Surelock zien wij dat deze vorm van pentesten het meest populair is bij organisaties. Dit door de veelzijdigheid van de test. Je krijgt namelijk inzicht op zowel de buitenkant van je organisaties als de binnenkant van je organisatie.
Voer een grey box pentest uitMoet je echt een expert in huren voor het uitvoeren van een pentest?
Ja, wil je je omgeving verdedigen tegen kwaadaardige hacker is het uitvoeren van een pentest de beste optie. Een vulnerability scan volstaat namelijk niet. Een automatische scan geeft namelijk alleen de kwetsbaarheden weer en niet hoe deze zijn gevonden.
Het inhuren van een pentester is in onze ogen dan ook de beste optie voor het inzichtelijk maken van je kwetsbaarheden. Na het uitvoeren van een pentest raden wij aan om door te gaan met het uitvoeren van vulnerability scans. Dit scheelt namelijk een hoop kosten en geeft je een goed beeld van de kwetsbaarheden die zijn opgelost.
Voorbeeld van een grey box pentest
Stel jij beheert de financiële gegevens van al je klanten in een platform je hebt segmentatie in je platform toegepast. Dus in principe kan de marketing afdeling niet bij de financiële gegevens van de operationele afdeling zou je denken. Maar is dit ook zo? En is het platform met de financiële gegevens wel weerbaar tegen cybercriminelen van buiten af?
Een black box pentest is een aanval vanaf buiten af zonder informatie dus je kan geen inzicht krijgen op de segmentatie binnen je platform. Een black box pentest volstaat in dit geval dan ook niet. Een white box pentest ook niet. Met een white box pentest krijg je namelijk inzicht op de interne systemen van het platform en kan je dus niet de weerbaarheid van het portal in zijn algemeen in kaartbrengen. Een grey box pentest is dus in het geval van die voorbeeld de beste optie.
Wat is de ideale lengte van een grey box pentest?
Een ideale lengte voor deze vorm is er eigenlijk niet. Elke omgeving die getest wordt is tenslotte anders. Vaak duurt het uitvoeren van dit soort pentest tussen de 2-5 dagen. Bij surelock helpen we je met het bepalen van de scope en duur.
Hoe gaan we om met gevoelige data bij Surelock?
Bij Surelock gaan we discreet om met de data van onze klanten. Alle medewerkers van Surelock hebben getekend voor een veilige omgang met data. Ook heeft iedere medewerker een VOG en zijn wij ISO27001 gecertificeerd.
Als informatiebeveiligingsbedrijf realiseren wij het risico dat kan ontstaan mocht de data die wij hebben in verkeerde handen komen. Daarom gaan wij ten alle tijden discreet om met de data en zijn de gevonden kwetsbaarheden uitsluitend beschikbaar voor de operationeel verantwoordelijke. In het geval van een grey box pentest de pentester.
Conclusie
Verwerk je gegevens binnen je organisatie op een digitale manier in bijvoorbeeld een platform of webapp? Voer dan een grey box pentest uit voor een zo goed mogelijk overzicht op al je IT-risico’s.
Vraag een grey box pentest aan