10+ jaren ervaring|OSCP-gecertificeerd|Gratis adviesgesprek|

Pentest: laat je bedrijf pentesten door Surelock

Bel ons nu op 0348 - 796 146 voor een gratis adviesgesprek
Plan een adviesgesprek in
Nico van Surelock pentest specialist
Pentest op maat voor jouw bedrijfPentest op maat
Pas op een pentest kan veel kwetsbaarheden in kaart brengenMeer dan 10.000 kwetsbaarheden gevonden
Een pentest is mensenwerkGratis adviesgesprek
https://www.unive.nl/zakelijk/cyberhulp/cyber-fit-service
Topicus een van de pentest klanten van Surelock
Swiss sense een van de pentest klanten van Surelock
Kuijpers een van de security consultancy klanten van Surelock
Logo_Loods5_Surelock_informatiebeveiliging
Kwetsbaarheden kunnen opduiken na het pentesten van je bedrijf.10.000 kwetsbaarheden gevonden
10 jaar ervaring op het gebied van beveiliging en bedrijfsveiligheid.10+ jaar ervaring
Pentesten op maat voor jouw bedrijfPentesten op maat
Surelock onderzoekt grondig of er beveiligingsrisico's aanwezig zijn met een pentestGrondig onderzoek
Een makkelijk te begrijpen pentest rapport.Gemakkelijk te begrijpen rapport
De technische kant van je organisatie doorgelicht met een pentestJe organisatie doorgelicht
Wij zetten Nederlandse IT-specialisten in voor uw bedrijfsveiligheid.Nederlandse IT-specialisten
Ondersteuning met het oplossen van de risico's van de pentestOndersteuning met het oplossen

Surelock: Nederlands bedrijf voor IT security en pentesten

Surelock is ontstaan vanuit een passie voor informatiebeveiliging met als doel het realiseren van bedrijfsveiligheid van hardwerkende organisaties. Dit betekent dat wij 100% focus hebben op het beschermen van onze klanten en zo efficiënt mogelijk de pentest uitvoeren. Wij hebben de mogelijkheid om door middel van een pentest, bedrijven vroegtijdig te waarschuwen voor beveiligingsrisico’s.

Een Surelock pentest bestaat dan ook uit verschillende onderdelen, een klant specifieke scope, gedetailleerd onderzoek, een goed te lezen pentest rapport met specificaties en dit voor allemaal tegen een scherp tarief. 

 

Wat is een pentest?

Een pentest of penetratietest geeft inzichtelijk waar de risico’s en kwetsbaarheden van systemen liggen. Een pentest gaat eigenlijk een stapje verder dan een vulnerability scan: waar een scan aangeeft waar de zwaktes liggen en dan stopt, worden deze zwaktes ook getest door ethical hackers bij een pentest.

Vraag een pentest aan

De verschillende methodieken, wij helpen je de juiste keus te maken

Elke organisatie is anders en maakt gebruik van andere systemen. Voor elke organisatie is dus een andere werkwijze gewenst. Om ervoor te zorgen dat de uitkomst van een pentest bijdraagt aan de informatiebeveiliging van jouw organisatie, is er keuze uit drie verschillende type testen. Hieronder nemen we de verschillende types met jou door.

Black box pentest

Bij een Black Box pentest verstrekt de opdrachtgever vooraf geen informatie aan de ethical hackers [...]

Black box pentest

Bij een Black Box pentest verstrekt de opdrachtgever vooraf geen informatie aan de ethical hackers. Met andere woorden: zij gaan de systemen (website, IT-infrastructuur, mobiele apps, API-koppelingen) aanvallen zoals echte hackers dit zouden doen, op zoek naar kwetsbaarheden die kunnen worden uitgebuit. Middels open bronnen onderzoek (OSINT) wordt de omgeving van de opdrachtgever van binnen en van buiten in kaart gebracht.

Grey box pentest

grey box pentest

Een Grey Box-testen heeft voor de test het toegang- en kennisniveau van een gebruiker [...]

Grey box pentest

Een Grey Box-testen heeft voor de test het toegang- en kennisniveau van een gebruiker, mogelijk met verhoogde bevoegdheden op een systeem. Zo krijgt de tekster ook allerlei ontwerpdocumentatie voor een netwerk. Deze wordt gebruikt om vanaf het begin te richten op de systemen met het grootste risico en de grootste waarde, in plaats van tijd te besteden aan het zelf te moeten bepalen welke systemen de grootste risico’s bevatten. Het doel van Grey Box pentesting is dus om een meer gerichte en efficiënte beoordeling van de beveiliging van een netwerk te bieden dan een Black Box beoordeling.

White box pentesting

Bij een White Box pentest – ook soms Crystal Box genoemd - geeft de opdrachtgever de ethical hackers al veel informatie over het bedrijf [...]

White box pentesting

Bij een White Box pentest – ook soms Crystal Box genoemd – geeft de opdrachtgever de ethical hackers al veel informatie over het bedrijf, denk aan de source code, functionaliteitenlijst, rollen/rechten matrix en de gedefinieerde scope. Zo kunnen de ethical hackers veel gerichter op zoek gaan naar de zwakke punten van de IT-infrastructuur, website, (mobiele) apps en meer.

Meer informatie over pentesten? Lees het op onze informatiebeveiligingspagina 

Onze cases

Eerst zien, dan geloven?
Laat je inspireren door onze cases!

Univé- Cyberhulp

Al sinds 1794 zorgt Univé als coöperatie voor zekerheid. Door risico’s te helpen voorkomen en te beperken, en wat overblijft te verzekeren, kunnen 1,6 miljoen leden op Univé rekenen.
Lees verder

MakerStreet

In samenwerking met de Surelock security consultancy is Makerstreet ISO27001 gecertificeerd. Door de goede ondersteuning met het uitvoeren van de Gap analyse konden de gevonden risico's worden geïmplementeerd. Waardoor de ISO27001 certificering binnen enkele maanden is behaald.
Lees verder

Veel gestelde vragen

Wat is het verschil tussen een pentest en een vulnerability scan?

Laten we beginnen met de vulnerability scan: een vulnerability scan controleert IT-systemen op zwakheden via een volledig geautomatiseerde procedure. Daardoor beperkt een vulnerability scan zich tot bekende beveiligingsfouten, je kan immers niet constateren wat je nog niet weet. Een pentest gaat verder dan een vulnerability scan. Pentesters gebruiken ook geautomatiseerde tools maar zoeken daarnaast ook handmatig naar zwakheden in de IT-omgeving. Doordat het handmatig werk is spelen beschikbare tijd, budget en de scope van de opdracht. Een pentest is dus altijd mensen werk en vergt daarom goede voorbereiding. Een vulnerability scan is dus een goede start in de kwetsbaarheden van je organisatie en een pentest is een logisch gevolg voor meer details aan te brengen. Je kan dus stellen dat een vulnerability scan meer in de breedte gaat en een pentest in de diepte.

Wat kost een Surelock pentest?

Een Surelock pentest start vanaf €5135,-, de prijs varieert op basis van de scope van de pentest. Test je bijvoorbeeld 1 netwerk of test je er 3. De prijs van een pentest kan dus oplopen door de complexiteit van de pentest.

Hoelang duurt een pentest?

Een pentest heeft een doorloop tijd van 1 á 2 weken, de opstarttijd is meestal 1 maand. Je kan dus binnen 1,5 maand jouw organisatie pentesten.

Wie voert de pentest uit?

Dit is een cruciale vraag. De ethische hacker van Surelock die de penetratietest uitvoert, kan immers toegang krijgen tot al jouw gevoelige data. Er zijn een aantal kenmerken om een ​​goedbedoelende pentest-organisatie te herkennen. Een belangrijk punt is de beoordeling van de penetratietester. Hackercertificaten zoals OSCP, OVSE en OSWE zijn naast een VOG (Verklaring van Gedrag) een goede graadmeter. Ook is het belangrijk dat de pentest uit mensenwerk bestaat. Als de pentest grotendeels geautomatiseerd is, is dit meestal een slecht teken. Menselijke intuïtie en creativiteit zijn cruciaal voor een penetratie test op maat.

Wat is red teaming?

Van oorsprong komt red teaming uit het leger. In het leger testen soldaten elkaar op kwetsbaarheden. Daarbij staan twee partijen tegenover elkaar: Team Red en Team Blue. Tijdens deze simulatie vallen de twee partijen elkaar aan zonder schade aan te richten. Je kunt het zien als een vriendschappelijke wedstrijd. Een voorbeeld van een red team: Je huurt een team in om binnen te dringen in je kantoor. Het team komt onaangekondigd binnen en probeert toegang te krijgen tot de systemen. Vervolgens na het binnen dringen geven ze alle stappen door aan de beheerder van het gebouw. Met deze gegevens kan de huurder van het team inzicht krijgen in de kwetsbaarheden.

Wat is blue teaming?

Blue teaming is het tegenovergesteld van red teaming. Dit betekent dat dit team niet probeert in te breken of kwetsbaarheden probeert te vinden maar juist verdedigt. Een voorbeeld van blue teaming: het beschermen van je gebouw met beveiliging en toegangspoortjes om zo de red teamers buiten te houden.

Wat betekent pentest?

Het woord pentest komt af van penetratietest. Een pentest is een test waarbij een goede (ethische) hacker probeert toegang te krijgen tot de IT-systemen van de opdrachtgever. Tijdens het testen worden de gevonden gegevens opgeslagen en achteraf gedeeld met de opdrachtgever. Op deze manier krijg je inzicht op de kwetsbaarheden.

Wat doet een pentester?

Een pentester is een (ethische) hacker. Dit betekent dat het een hacker is die ingehuurd kan worden om inzicht te krijgen op de kwetsbaarheden van een systeem. De pentester deelt na het uitvoeren van de pentest de gevonden kwetsbaarheden in een rapport zodat jij de daadwerkelijke hackers een stapje voor kan blijven. Voorkomen is ten slotte beter dan genezen.

Wat kost een pen test?

Een pentest start vanaf €5135,-, de prijs varieert op basis van de scope en de soort pentest die je afneemt.

Is pentesten interessant voor MKB en grote bedrijven?

ja, pentesten is interessant voor alle organisaties die data verzamelen van hun klanten in systemen. Met pentesten krijg je meer inzicht op de kwetsbaarheden binnen de informatiebeveiliging van jouw MKB of organisatie. Bij Surelock zien wij dan ook steeds meer bedrijven die informatiebeveiliging hoog op de agenda plaatsen en een pentest uitvoeren om te voldoen aan de standaard eisen.

Wanneer een pentest uitvoeren?

Het uitvoeren van een test om de risico's van je (wifi) netwerken, systemen en applicaties doe je wanneer je inzicht wilt in de kwetsbaarheden binnen deze omgevingen. Ook is een pentest uitvoeren verplicht voor sommige audits voor het behalen van certificeringen.

Waar moet jij op letten bij het aanvragen van een pentest

Als bedrijf is het belangrijk dat voor het aanvragen van een pentest goed nagedacht wordt welke soort en methodiek bij jouw bedrijf past. Hierbij speelt niet alleen de methodiek een rol maar ook het budget en de omgeving die getest wordt. Is er bijvoorbeeld in beeld wat de scope is?

Bij Surelock helpen wij bedrijven graag met het aanvragen van een pentest. In sommige gevallen volstaat namelijk een vulnerability scan al. Dit scheelt kosten ten opzichte van een pentest maar geeft ook een ander resultaat. Als jij als bedrijf een omgeving, (web) applicatie, systeem, server of netwerk wilt testen moet er vooraf goed in beeld gebracht zijn wat de scope is. Samen met de ethische hackers en security consultants van Surelock kijken we naar een oplossing die past bij jouw bedrijf/organisatie.

Bij het aanvragen van een pentest zijn er een aantal specifieke vragen waar je als bedrijf antwoord op moet geven.

  • Wat voor gegevens zitten er in de IT-omgeving die getest wordt?
  • Welke functies zijn er binnen deze IT-omgeving?
  • Wie maken er gebruik van de IT-omgeving die jij gaat testen?
  • Hoe krijgt iemand rechten binnen de IT-omgeving?
  • Hoe autoriseer jij deze rechten?
  • Welke gebruikersrollen, rechten, eventueel externe gebruikers zijn er?

In het geval van een (web) applicatie zijn er een aantal specifieke kenmerken.

  • Zijn er koppelingen met andere applicaties zoals ERP, CRM, financieel?
  • Zijn er andere externe koppelingen, zoals betalingen, DigiD, authenticatie, online look-ups?
  • Welke techniek wordt gebruikt voor de integratie(s)? (REST, SOAP, …)
  • Welke authenticatiemethode wordt er gebruikt voor de API?
  • Is er IP white-listing nodig?

Deze vragen kunnen voorafgaand aan de aanvraag van een test beantwoorden worden in een meeting met de specialisten van Surelock.

Een penscan is geen pentest

In de markt van pentesten zien wij steeds vaker ook penscans voorbij komen. Voor deze zogeheten pentest scans wordt een prijs gevraagd die ver onder de prijs van een pentest ligt. Dit is ook logisch want een penscan is een vulnerability scan die wordt uitgevoerd door een “ethische hacker”. Deze vorm heeft een naam gekregen met het woord pen erin maar het is geen pentest.

Een penscan kan jij zien als een automatische vulnerability scan. Met het uitvoeren van een pentest bereik jij een ander doel. Bij een pentest wordt jouw omgeving daadwerkelijk getest door ethische hackers en niet een automatische scan. Bij het aanvragen van een pentest moet jij er dus goed op letten of er wel menselijk werk aan toe pas komt. Zo niet voer jij eigenlijk gewoon een vulnerability scan uit.

Bij Surelock werken wij voor publieke en private klanten

Het klanten bestand van Surelock bestaat uit overheden, zorginstelling en bedrijven uit binnen- en buitenland. Wij voeren pentesten uit die op een zo gedetailleerd mogelijke manier worden uitgevoerd. Een aantal voorbeelden van onze klanten zijn: Kuijpers, Univé, Juva, Swiss Sense, gemeentes en nog veel meer. Verder krijg jij buiten het gedetailleerde rapport ook een rapport dat gemakkelijk te lezen is en waar jij dus ook daadwerkelijk iets aan hebt.

Hoe gaat Surelock te werk bij het uitvoeren van een pentest?

Bij het uitvoeren van een pentest komen altijd een aantal standaard vragen naar voren die wij samen met jou beantwoorden. Dit doen wij in een meeting voorafgaand aan het maken van de offerte op maat. Een pentest is vrijwel altijd uniek per bedrijf. Geen een bedrijf is ten slotte hetzelfde.

Na het opstellen van een offerte in samenspraak met de klant gaan we van start. Dit doen wij doormiddel van een Kick-off meeting met het IT-team van de klant. Op deze manier krijg je binnen de organisatie draagvlak voor het uitvoeren van de pentest. Iedereen is op de hoogte van wat er gebeurt en kan ook direct ingezet worden wanneer er kritieke kwetsbaarheden worden gevonden.

Na de Kick-off meeting gaat de pentester aan het werk. Hij test de omgeving aan de hand van een aantal specifieke methodes. Dit is afhankelijk per organisatie en de soort pentest die vooraf is gekozen.

Na de introductie dag krijgt de klant te horen waar de risico’s zich bevinden. Dit wordt indien een kritiekrisico direct gecommuniceerd. De overige risico’s worden indien mogelijk de volgende dag al besproken. Tijdens een resultatenmeeting. Op deze manier kan jij als bedrijf direct werken aan de gevonden risico’s.

Een test duurt vaak meerdere dagen, ongeveer 3-5 dagen afhankelijk van de scope. De cyclus hierboven wordt dus meerdere malen herhaald. Na het afronden van de test. Wordt er een overzichtelijk pentest rapport gemaakt met daarin alle findings. Mochten er achteraf nog vragen zijn over de test kan jij deze ten alle tijden bij ons stellen en kijken we samen naar een oplossing.

Welke soorten pentesten zijn er?

Bij het uitvoeren van een pentest is het belangrijk dat jij vooraf goed bedenkt welk soort test jouw organisatie nodig heeft. Er zijn namelijk 5 verschillende soorten pentesten die jij kunt uitvoeren. Uiteraard helpen wij met het maken van de juiste keuze. Leer hieronder welke verschillende soorten pentesten wij aanbieden.

Netwerk

Bij het uitvoeren van een pentest met de focus op het netwerk van jouw bedrijf krijg jij inzicht op IT-risico’s binnen het bedrijfsnetwerk. Met deze soort weet jij dus of cybercriminelen toegang hebben tot het netwerk en hoe deze toegang verkregen is. Met deze vorm krijg jij tevens inzicht in de schade die ransomeware of medewerkers kunnen aanbrengen binnen het (wifi) netwerk .

(web) applicaties

Tegenwoordig staan een groot deel van klantdata online in applicaties. Denk hierbij aan het CRM-systeem, de website met inlogpagina, de financiële systemen of een in-house webapplicatie. Met het uitvoeren van de pentest krijg jij inzicht op de kwetsbaarheden binnen jouw (web) applicaties.

API’s  & mobiele Apps

Mobiele apps verwerken data die jij liever niet kwijt wilt raken. De Mobiele apps zijn vaak gekoppeld aan overige API’s en (web) applicaties. Met een pentest voor API’s  & mobiele Apps krijg jij inzicht in alle kwetsbaarheden en manieren waarop er een aanval kan worden uitgevoerd. Ook krijgt jij inzicht in de verschillende koppelingen die zich bevinden in de mobiele apps.

Pentest voor een audit

Bij Surelock zien wij het belang van pentesten voor een audit voor BIO, ISAE, DigiD,  of ISO27001 in. Wij helpen jaarlijks meerdere organisaties met het behalen van audits met ons security consultancy team. Wij weten dus precies aan welke normen de pentest moet voldoen en bieden een rapport aan dat direct bruikbaar is voor de audit.

Hardware

Binnen jouw bedrijf/organisatie bevindt zicht veel hardware. Deze hardware wordt steeds beter ontwikkeld en vormt op deze manier een ingang tot jouw IT-infrastructuur. Met de hardware wordt de data verwerkt en gedeeld met de verschillende applicaties. Met een test van de hardware geven wij inzicht in de fysieke hardware en software die er binnen het bedrijf is.

Er zijn verschillende soorten pentest deze afbelding laat ze zien

Het voordeel van het uitvoeren van een pentest

Bij Surelock helpen wij jaarlijks meer dan 100 bedrijven uit verschillende branches en markten met het in kaart brengen van de kwetsbaarheden. Desondanks leggen wij graag hieronder puntsgewijs uit wat de voordelen zijn van het uitvoeren van een pentest.

  • Met een pentest krijg jij Inzicht op de kwetsbaarheden van jouw IT-omgeving in de ogen van een daadwerkelijk hacker.
  • Onze manier van werken zorgt voor een kosten efficiënt resultaat. Geen onnodige poespas gewoon een duidelijk rapport met de resultaten van de test.
  • Door de verschillende expertises binnen Surelock ondersteunen wij onze klanten op ieder Cybersecurity gebied. Denk bijvoorbeeld aan het onderdeel security awareness of het behalen van een certificering. Bij Surelock hebben wij de verschillende expertises in-house en daar profiteer jij als klant van Surelock uiteraard van.
  • Directe lijn met de pentester. Bij Surelock kom jij direct in contact met de pentester mocht hier behoefte aan zijn.

Hoe ondersteunt een pentest jouw organisatie?

Bij Surelock zien wij de vraag van informatiebeveiliging de afgelopen jaren exponentieel toenemen. Zo ook op het gebied van (wifi) netwerken, systemen en applicaties. Door deze IT-omgevingen te uitvoerig te testen krijg je goed inzicht op de risico’s en weet je waar de kwetsbaarheden zich bevinden. De bevindingen kan je vervolgens beoordelen en oplossen. Op deze manier zorg je ervoor dat jouw organisatie preventief beschermt is tegen dreigingen van cybercriminaliteit.

 

 

 

 

Een pentest uitvoeren? Surelock draagt graag bij aan een cyberveiligere omgeving voor jouw organisatie. Op een manier die bij jouw organisatie past. De systemen worden “aangevallen” zoals daadwerkelijke cybercriminelen dit ook doen. Ethische hackers van Surelock zijn gecertificeerd en volgen de hoogste standaarden op. Vraag een Pentest adviesgesprek aan of bel ons 0348 – 796 146 voor een vrijblijvend gesprek over het bestrijden van cybercrime met behulp van een pentest.

Het verschil tussen de pentest methodieken.

In het pentesten heb je 3 verschillende soorten pentest methodieken/soorten. Je hebt de keuze tussen een white box, grey box en een black box. Het verschil tussen deze verschillende methodieken zit hem in de manier waarop de “aanval” plaatsvindt. Hieronder leg ik je uit wat nu het verschil is tussen de verschillende methodieken. Ben je benieuwd naar een methode in het specifiek druk dan op de gearceerde soorten elk soort heeft zijn eigen pagina.

Als start zijn er twee verschillende woorden die vaak door elkaar heen gebruikt worden: soort en methodiek. Met soort wordt vaak de omgeving die getest wordt bedoelt. Terwijl met methodiek de manier van werken wordt bedoelt. Hieronder leggen we je kort uit wat de verschillen zijn.

 

 

 

 

drie pentest soorten in een afbeelding

Black box pentest vs white box pentest

Het verschil in de methodiek van een black box pentest en white box pentest zit hem in de informatie die de pentester voorafgaand aan de test krijgt. Bij een black box pentest krijgt de hacker vrijwel geen informatie over het bedrijf, de omgeving en de gebruikers. Dit is dus hoe een daadwerkelijke hacker te werk zal gaan.

Met een white box pentest is deze informatie wel vooraf gegeven aan de pentester. Er is toegang tot de applicatie. Bij deze methodiek heeft de pentester dus vooraf al toegang tot de applicatie en kijkt van binnen naar buiten of er kwetsbaarheden zijn.

Black box pentest vs grey box pentest

Tussen een black en een grey box pentest zit het verschil hem in het verschaffen van informatie voorafgaand aan de test. Bij een grey box test krijgt de ethische hacker vooraf deels informatie over de test bij een black box pentest krijgt de tester geen toegang.

Grey box pentest vs white box pentest

Met een grey box en white box pentest krijg je veel overlap in de gevonden kwetsbaarheden. Echter krijg je bij een grey box ook een deel informatie zoals dit bij een black box test gaat. Bijvoorbeeld: een test van 5 dagen, daarvan worden er 2 besteed aan black box testen en 3 dagen aan white box pentesten. Dit noem je dan een grey box pentest een beetje van beide.

Wat kost een pen test?

Een pen test uitgevoerd door Surelock start vanaf €3500,-. Er is geen vaste prijs maar een uurtarief dat wordt afgesproken. Een pen test is tenslotte ook mensen werk.

Ook hangt de prijs af van de scope. Wat ga je testen? Hoe ga je dit testen? Wanneer ga je dit testen? Hoeveel pentester? De prijs is dus vrijwel altijd verschillend. Zie je een pentest voor een vaste prijs is dit geen echte pentest met de hand maar een automatische scan ook wel vulnerability scan genoemd.

Laatste nieuws

Surelock is ISO27001 gecertificeerd

Man-achter-de-computer-aan-het-werk-met-een-penetratietest

Penetratietest: Alles wat je moet weten over een penetratietest

Boer aan het werk in zijn melkveehouderij autamtische melkmachine

Cybercriminaliteit in de agrarische sector

10+ jaren ervaring|OSCP-gecertificeerd|Gratis adviesgesprek|

Pentest: laat je bedrijf pentesten door Surelock

Bel ons nu op 0348 - 796 146 voor een gratis adviesgesprek
Plan een adviesgesprek in