Grey box pentest

| Leestijd: 4 minuten
Afbeelding daarop met illustratie grey box pentest ter opmaak van de pagina

Er zijn drie soorten pentesten. Namelijk, een Black box pentest, een White box pentest en een Grey box pentest. Het verschil tussen de verschillende methodieken pentesten leggen we je graag uit op onze pentest pagina. Voor nu gaan we inzoomen op de grey box pentest. Wat is het? En wanneer gebruik je deze soort pentest?

Wat is een grey box pentest?

Een grey box pentest is een penetratietest waarbij de opdrachtgever de ethische hacker vooraf inloggegevens geeft voor het vinden van kwetsbaarheden. Maar er ook naar de kwetsbaarheden wordt gekeken zonder inloggegevens. Je kan het zien als een combinatie van een black box pentest en white box pentest.

Deze vorm van pentesten zorgt ervoor dat je een zo compleet mogelijk beeld krijgt van de kwetsbaarheden binnen de IT-omgeving. Het uitvoeren van dit soort pentesten is van enorm belang wanneer je informatie binnen je organisatie verwerkt. Op deze manier krijg je namelijk inzicht in de risico’s van je IT-omgevingen en kan je de informatie die verwerkt wordt beter beschermen.

Bij Surelock zien wij grey box pentesten dan ook vaak voorkomen, dit door de breedte en findings van deze vorm van pentesten. Benieuwd of een grey box pentest ook voor jouw organisatie werkt? Vraag dan een adviesgesprek aan met onze adviseurs.

Waarom een grey box pentest?

Een grey box pentest wordt vaak uitgevoerd om inzicht te krijgen op de kwetsbaarheden die beschikbaar zijn voor cybrcriminelen van buitenaf en kwetsbaarheden die beschikbaar zijn voor medewerkers. Met kwetsbaarheden voor medewerkers kan je bijvoorbeeld autorisatie nemen. Kan een marketing medewerker niet bij alle HR-gegevens van de organisatie waar hij voor werkt.

Bij Surelock zien wij dat deze vorm van pentesten het meest populair is bij organisaties. Dit door de veelzijdigheid van de test. Je krijgt namelijk inzicht op zowel de buitenkant van je organisaties als de binnenkant van je organisatie.

Voer een grey box pentest uit

Moet je echt een expert in huren voor het uitvoeren van een pentest?

Ja, wil je je omgeving verdedigen tegen kwaadaardige hacker is het uitvoeren van een pentest de beste optie. Een vulnerability scan volstaat namelijk niet. Een automatische scan geeft namelijk alleen de kwetsbaarheden weer en niet hoe deze zijn gevonden.

Het inhuren van een pentester is in onze ogen dan ook de beste optie voor het inzichtelijk maken van je kwetsbaarheden. Na het uitvoeren van een pentest raden wij aan om door te gaan met het uitvoeren van vulnerability scans. Dit scheelt namelijk een hoop kosten en geeft je een goed beeld van de kwetsbaarheden die zijn opgelost.

Voorbeeld van een grey box pentest

Stel jij beheert de financiële gegevens van al je klanten in een platform je hebt segmentatie in je platform toegepast. Dus in principe kan de marketing afdeling niet bij de financiële gegevens van de operationele afdeling zou je denken. Maar is dit ook zo? En is het platform met de financiële gegevens wel weerbaar tegen cybercriminelen van buiten af?

Een black box pentest is een aanval vanaf buiten af zonder informatie dus je kan geen inzicht krijgen op de segmentatie binnen je platform. Een black box pentest volstaat in dit geval dan ook niet. Een white box pentest ook niet. Met een white box pentest krijg je namelijk inzicht op de interne systemen van het platform en kan je dus niet de weerbaarheid van het portal in zijn algemeen in kaartbrengen. Een grey box pentest is dus in het geval van die voorbeeld de beste optie.

grey box pentest

Wat is de ideale lengte van een grey box pentest?

Een ideale lengte voor deze vorm is er eigenlijk niet. Elke omgeving die getest wordt is tenslotte anders. Vaak duurt het uitvoeren van dit soort pentest tussen de 2-5 dagen. Bij surelock helpen we je met het bepalen van de scope en duur.

Hoe gaan we om met gevoelige data bij Surelock?

Bij Surelock gaan we discreet om met de data van onze klanten. Alle medewerkers van Surelock hebben getekend voor een veilige omgang met data. Ook heeft iedere medewerker een VOG en zijn wij ISO27001 gecertificeerd.

Als informatiebeveiligingsbedrijf realiseren wij het risico dat kan ontstaan mocht de data die wij hebben in verkeerde handen komen. Daarom gaan wij ten alle tijden discreet om met de data en zijn de gevonden kwetsbaarheden uitsluitend beschikbaar voor de operationeel verantwoordelijke. In het geval van een grey box pentest de pentester.

Conclusie

Verwerk je gegevens binnen je organisatie op een digitale manier in bijvoorbeeld een platform of webapp? Voer dan een grey box pentest uit voor een zo goed mogelijk overzicht op al je IT-risico’s.

Vraag een grey box pentest aan
 
Delen: Grey box pentest

Door

- Stefan Schepers
Marketing manager
Man 22 jaar op de foto met een glimlach en blauwe blouse. Medewerker marketing bij Surelock Stefan Schepers

Veel gestelde vragen

Wat is een pentest?

Pentesten is een proces waarbij een ethische hacker met toestemming op allerlei verschillende manier toegang probeert te krijgen tot de geteste IT-omgeving. Het doel van de pentest is om de zwakke plekken van een website, applicatie of zelfs gehele IT-infrastructuur in kaart te brengen.

Op welke manieren kunnen pentesten worden uitgevoerd?

Penetratietesten kunnen op drie verschillende manieren worden uitgevoerd om kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps aan het licht te brengen. Deze manieren zijn een black box, een grey box en een white box pentest.

Wat is een grey box pentest?

Grey box penetratietesten is een vorm van penetratietesten waarbij de klant vooraf inloggegevens verstrekt aan ethische hackers om kwetsbaarheden te vinden. Kwetsbaarheden worden echter ook bekeken zonder inloggegevens. Je kunt het zien als een combinatie van black box pentesten en white box pentesten. Deze vorm van penetratietesten zorgt ervoor dat je de kwetsbaarheden in je IT-omgeving zo goed mogelijk begrijpt.

Is er een voorbeeld van een grey box pentest?

Een voorbeeld van een grey box pentest: de ethische hacker onderzoekt of de marketing afdeling gevoelige sales documenten kan openen. Zo ja, is het platform met de financiële gegevens wel weerbaar tegen cybercriminelen van buiten af?

Wat is het grootste verschil tussen een grey box en een white box pentest?

Bij een white box pentest krijgt de pentester vooraf al informatie van het bedrijf zodat het gemakkelijk naar zwakheden kan gaan zoeken. Bij een white pentest wordt er bijvoorbeeld gekeken naar de dichtheid van je beveiligsysteem. In tegenstelling tot een white box pentest wordt er vooraf bij een grey test pentest niet alle informatie verschaft. Bij een grey box pentest krijgt de ethische hacker deels informatie over het bedrijf en wordt er deels van binnen,- en buitenaf onderzoek gedaan.

Wat is het verschil tussen een grey box en een black box pentest?

Bij een black box pentest wordt er geen informatie aan de pentester gegeven. De ethische hacker moet hierdoor zelf opzoek gaan naar zwakheden binnen een netwerk en kruipt als het ware in de huid van een cybercrimineel. Bij een grey box pentest heeft de ethische hacker toegang tot kennisniveau van een gebruiker. Zo krijgt de pentester deels informatie. Het doel van de test is om zwakheden te zoeken binnen een netwerk.

In welke situaties kun je het beste voor een grey box pentest kiezen?

Het is belangrijk om dit soort penetratietesten uit te voeren wanneer u te maken heeft met informatie binnen uw organisatie. Zo krijgt u inzicht in de risico's van uw IT-omgeving en kunt u de informatie die u verwerkt beter beveiligen.

Wat zijn de voordelen van een grey box pentest?

Bij Surelock krijgt de grey box pentester dezelfde toegangs- en kennisniveau van een gebruiker, met verhoogde bevoegdheden op een van de systemen bij de opdrachtgever. In plaats van tijd te besteden aan het zelf bepalen welke systemen de grootste risico’s bevatten wordt er samen met de opdrachtgever besloten welke onderdelen er worden getest. Het voordeel van grey box pentest is dus om een meer gerichte en efficiënte beoordeling van de beveiliging van een netwerk te bieden dan een black box beoordeling.

Wat zijn de nadelen van een grey box pentest?

Bij een grey box pentest wordt je IT-beveiliging niet getest op de manier van een cybercrimineel. Hierdoor kunnen er zwakheden over het hoofd worden gezien.

Waarom voor Surelock kiezen?

Er zijn meerdere redenen waarom u voor Surelock zou moeten kiezen. Zo werken wij werken nauw met klanten. Door de jaren heen zijn wij adviseurs voor onder anderen Beko en Univé geworden. Ons team bestaat uit personeel met vele jaren ervaring in de cybersecurity. Door deze expertise in te zetten hebben wij gelijk inzicht in uw IT-omgeving.