Penetratietest: Alles wat je moet weten over een penetratietest

| Leestijd: 6 minuten
Man-achter-de-computer-aan-het-werk-met-een-penetratietest

Een penetratietest is een test waarbij één of meerdere netwerken, (web) applicaties, API’s  & mobiele Apps of hardware apparaten worden getest op kwetsbaarheden. Het doel hiervan is het nabootsen van een aanval van een daadwerkelijk hacker om zo het informatiebeveiligingsniveau te verhogen.

Penetratietest uitvoeren

Met het uitvoeren van een penetratietest krijg je direct inzicht op de kwetsbaarheden binnen jouw organisatie. Een pentest bootst namelijk een aanval van een kwaadaardige hacker na. Zo krijg jij zicht op je organisatie uit de ogen van een hacker.

Bij Surelock zijn de hackers OSCP gecertificeerd en bezitten ze de laatste technieken uit de branche. Tevens is Surelock ook lid van Cyberveilig Nederland, dé belangenorganisatie voor een optimaal ondernemingsklimaat voor cybersecuritybedrijven.

Waarom een penetratietest door Surelock laten uitvoeren?

Het uitvoeren van een penetratietest is en blijft in alle gevallen mensenwerk. Je hebt namelijk een ficitieve hacker die jouw organisatie gaat doorlichten zoals een daadwerkelijke hacker dit doet. De kwaliteit hangt dan ook samen met de vaardigheden van de ethische hackers. Bij Surelock krijgen onze ethische hackers de ruimte om zichzelf continue te blijven verbeteren aan de ene kant in het werkveld en aan de andere kant in test omgevingen zoals hack the box. Op deze manier blijven onze ethische hackers op de hoogte van de laatste trends in cybercrime wereld anno 2023.

Waarom Surelock?

  • Geen poespas maar een duidelijk verhaal waar jouw organisatie iets mee kan
  • Snel contact met je account manager
  • 10+ jaar ervaring in de wereld van informatiebeveiliging
  • Al meer dan 100+ bedrijven gingen je voor

Een penetratietest uitvoeren?

  • Ontvang een gratis pentest voorstel op maat
  • Weet welke pentest bij jouw organisatie past

De 3 verschillende methodieken

Binnen penetratietesten zijn er 3 verschillende methodieken. De verschillende methodieken zijn: black box pentest, grey box pentest en een white box pentest. Per soort verschilt de aanvalsmethodiek. Val je bijvoorbeeld de organisatie aan met vooraf verstrekte informatie of geef je de hacker helemaal geen informatie voorafgaand aan de test. Met het kiezen van een bepaalde methodiek zorg je ervoor dat de scope van de penetratietest erg scherp is en je scenario’s test die daadwerkelijk kunnen plaatsvinden.

De 3 verschillende pentest soorten

Hoelang duurt een penetratietest?

De duur van een test hangt af van de scope die vooraf bepaald wordt. In samenwerking met de ethische hackers van Surelock start je met het in kaart brengen van de scope. Wat wil je testen, waarom ga je dit testen en wat zijn de risico’s binnen deze omgeving.

Daar uit volgt een plan van aanpak gemaakt dat past bij jouw organisatie. Geen een organisatie is tenslotte hetzelfde. Gemiddeld duurt een penetratietest 3-8 dagen. Deze indicatie is afhankelijk van de vooraf bepaalde scope.

Noa aan het werk bij Surelock

De kosten van een penetratietest

Penetratietesten brengen kosten met zich mee. Deze kosten zijn afhankelijk van verschillende factoren, zoals de omvang (scope) en complexiteit van de systemen die worden getest, de benodigde expertise en de duur van de test.

Het is belangrijk om een realistisch budget op te stellen voor een penetratietest en om rekening te houden met eventuele onvoorziene kosten. Zoals bijvoorbeeld het hertesten van de bevindingen die uit de pentest zijn gekomen. Bij Surelock gaan we dan ook voorafgaand aan het uitvoeren van de pentest het gesprek aan voor het bepalen van de scope. Dit scheelt jouw kosten en ons een hoop tijd, we testen namelijk alleen wat daadwerkelijk getest moet worden. Benieuwd naar hoe wij dit doen? Bel dan naar 0348 – 796 146 binnen 5 minuten heb je een security specialist aan de lijn.

Penetratietesten en de verschillende normenkaders

Het uitvoeren van penetratietesten speekt een belangrijke rol in het kader van compliance en regelgeving. Veel bedrijven en organisaties zijn wettelijk verplicht om bepaalde veiligheidsnormen en maatregelen te treffen om persoonsgegevens te beschermen. Penetratietesten kunnen hierin goed ondersteunen aangezien ze kunnen helpen om de kwetsbare plekken in de beveiliging op te sporen en te verhelpen voordat een organisatie schade ondervindt.

Bovendien kan een penetratietest ook nuttig zijn bij het aantonen van het naleven van de wet- regelgeving. Een succesvolle penetratietest kan aantonen dat de beveiliging van de systemen voldoet aan de vereisten van specifieke wetten en normen. Dit kan belangrijk zijn bij audits en controles en kan leiden tot een verbeterd imago. Het is daarom van belang om te zorgen dat penetratietesten niet alleen worden uitgevoerd om aan wet- regelgeving te voldoen, maar ook om de beveiliging van systemen voortdurend te verbeteren en monitoren.

Hoe bereid je jouw organisatie voor op het uitvoeren van de penetratietest?

Hieronder geven we je kort weer hoe jij je organisatie kan voorbereiden op de uitvoer van de penetratietest. De tips hieronder zijn niet organisatie specifiek iedere organisatie heeft een persoonlijke behoefte.

  • Voorafgaand aan de pentest is het belangrijk dat je goed duidelijk hebt wat het doel is. Hoe scherper je doel hoe gerichter de pentest kan zijn en je dus ook kosten kan besparen. Een voorbeeld: je wilt inzicht hebben op de veiligheid van je netwerk. Scan je dan heel het netwerk of alleen het netwerk wat opstaat naar de buiten wereld? Of test je beiden om inzicht te krijgen om de mogelijkheden tot escalatie.
  • Zorg voor een goede scope. Zorg dat je een goede scope hebt wanneer je aan de slag gaat met het uitvoeren van de penetratietest. Dit omvat de systemen, applicaties en netwerkcomponenten die zullen worden getest, evenals de locaties en tijdsduur.
  • Verzamel informatie over de te testen omgeving. Tuurlijk ondersteunen wij je met het definitief bepalen van de scope maar hiervoor hebben we wel enige informatie nodig. Bereid je daarom goed voor op het gesprek. Denk bijvoorbeeld aan een overzicht van het netwerk of netwerkdiagrammen.
  • Bepaal de impact voor je bedrijf. Dit onderdeel kan ook na het bepalen van de scope maar is wel een belangrijk onderdeel. Want wat ga je bijvoorbeeld doen als er tijdens de pentest kritieke bevindingen worden gevonden die downtime gaan opleveren? Bij Surelock denken wij graag mee aan de oplossing van deze problemen. Benieuwd hoe wij dit doen? Bel dan naar 0348 – 796 146 binnen 5 minuten heb je een security specialist aan de lijn.

Een penetratietest uitvoeren?

  • Ontvang een gratis pentest voorstel op maat
  • Weet welke pentest bij jouw organisatie past

De ethiek van penetratietesten en het belang van toestemming

Om een penetratietest uit te voeren is er ten alle tijden toestemming nodig vanuit de eigenaar van de te testen omgeving. Vaak krijgen wij de vraag om bepaalde SaaS-applicaties te testen. Dit kunnen wij niet doen omdat het computervredebreuk is tevens is het zonde van het budget voor het uitvoeren van de pentest. Je test namelijk een omgeving die niet van jou is maar van een andere organisatie, de verantwoordelijkheid ligt dus ergens anders.

Bij onze zuiderburen België is het sinds 15 februari 2023 wel toegestaan om ethisch te hacken zonder toestemming. Het gaat hier wel om alleen Belgische bedrijven dus nog niet de grote SaaS-applicaties die je waarschijnlijk gebruikt binnen ja organisatie. Over deze wetgeving zijn verschillende meningen in Nederland blijven we voorlopig nog werken met vrijwaringsverklaringen.

 
Delen: Penetratietest: Alles wat je moet weten over een penetratietest

Door

- Stefan Schepers
security professional
Man 22 jaar op de foto met een glimlach en blauwe blouse. Medewerker marketing bij Surelock Stefan Schepers

Welke soorten penetratietesten zijn er?

Bij een penetratietesten is het belangrijk om vooraf goed na te denken over wat voor soort testen jouw organisatie nodig heeft. Je hebt hierin vijf verschillende opties bij Surelock voor het uitvoeren van een penetratietest. Uiteraard helpen wij je graag bij het maken van de juiste keuze. Lees hieronder welke verschillende penetratietesten Surelock kan aanbieden.

Netwerk

Door een pentest uit te voeren die zich richt op het netwerk van uw bedrijf, krijgt u een beeld van de IT-risico’s van het bedrijfsnetwerk. Dit type laat je weten of cybercriminelen toegang hebben tot het netwerk en hoe die toegang is verkregen. Dit formulier geeft je ook een idee van de schade die ransomware of medewerkers kunnen aanrichten in het (wifi)netwerk.

(web) applicaties

Tegenwoordig leven veel klantgegevens online in applicaties. Denk aan een CRM-systeem, een website met inlogpagina, financiële systemen of een interne website. Door een pentest uit te voeren, kunt u een beeld krijgen van de kwetsbaarheden van uw (web)applicaties.

API’s  & mobiele Apps

Noodzakelijke programma’s behandelen de gegevens die u niet wilt verliezen. Mobiele applicaties zijn vaak gekoppeld aan andere API’s en (web)applicaties. Door API’s en mobiele apps te pentesten, kun je een beeld krijgen van alle kwetsbaarheden en manieren om een ​​aanval uit te voeren. Ook krijg je een idee van de verschillende links die in de mobiele apps te vinden zijn.

Normenkader of audit

Bij Surelock zien wij het belang van pentesten voor een audit voor BIO, ISAE, DigiD,  of ISO27001 in. Wij helpen jaarlijks meerdere organisaties met het behalen van audits met ons security consultancy team. Wij weten dus precies aan welke normen de pentest moet voldoen en bieden een rapport aan dat direct bruikbaar is voor de audit.

Hardware

Uw bedrijf/organisatie heeft veel hardware. Deze hardware wordt continu doorontwikkeld en vormt de toegangspoort tot uw IT-infrastructuur. Hardware wordt gebruikt om gegevens te verwerken en te delen met verschillende applicaties. Met hardware testen geven we informatie over de bestaande fysieke apparatuur en software van het bedrijf.

Er zijn verschillende soorten pentest deze afbelding laat ze zien

Veel gestelde vragen

Wat is het verschil tussen een penetratietest en pentest?

Er zit geen verschil tussen de twee woorden pentest is een afkorting van penetratietest.

Wat doet een penetratietester?

Een penetratietester ookwel ethische hacker genoemd test jouw organisatie op kwetsbaarheden. Denk hierbij aan het uitvoeren van een netwerk, applicatie of fysieke test om inzicht te krijgen op de IT-risico's.

Wat is een penetratietest?

Een penetratietest ookwel pentest genoemd is een test waarbij een ethische (goede) hacker jouw organisatie gaat testen op kwetsbaarheden. Op deze manier zorg je ervoor dat je organisatie beschermt is tegen hackers die wel kwade bedoelingen hebben.