Pentesten voor organisaties: alles wat je moet weten over wat pentesten is en hoe pentesten in zijn werking gaat (2021)

| Leestijd: 14 minuten
Pentesten alles wat je moet weten, foto van het kantoor van Surelock met daarop het Surelock logo en de tekst pentesten alles wat je moet weten

Wat je moet weten over pentesten? In dit artikel vertellen we je alles over:  

  • Wat een pentest kost 
  • Wat het verschil is tussen een automatische vulnerability scan en een pentest 
  • Hoe een pentest in zijn werking gaat
  • De verschillende soorten pentests

Met onze jarenlange ervaring in pentesten weten wij precies wat er allemaal bij een pentest komt kijken. Ben je een particulier en wil je meer informatie over het onderwerp pentesten? Dan raden wij je aan om eens te kijken bij het ncsc. 

Over de auteur 

Bij Surelock zijn wij dagelijks bezig met het pentesten van bedrijven. Toch beseffen we dat pentesten voor veel bedrijven nog niet hoog op het prioriteitenlijstje staat.  

Vaak wordt het belang van pentesten pas duidelijk nadat cybercriminelen systemen hebben geblokkeerd (ransomware) of data hebben gestolen. Tegelijkertijd kunnen anno 2021 cybercriminelen met relatief weinig kennis en inspanning veel slachtoffers maken. Omdat de benodigde techniek steeds toegankelijker wordt.  

Door onze jarenlange ervaring in het vak weten we hoe cybercriminelen te werk gaan en wat je er tegen kunt doen. Dit artikel is dan ook geschreven voor bedrijven die liever voor hun accreditaties in het nieuws willen komen dan vanwege hun datalek. 

Laten we starten bij het begin 

Wat is een pentest? 

In het kort: Pentesten is een afkorting van ‘penetratie testen’. Tijdens een pentest nemen pentesters de rol van een hacker op zich. Ze proberen op verschillende manieren en met alle mogelijke middelen toegang te krijgen tot de IT-infrastructuur van de opdrachtgever.  

Op die manier geven ze de zwakke plekken van je site, applicatie of IT-infrastructuur weer. Na het uitvoeren van de pentest kun je met gerichte actiepunten deze IT-kwetsbaarheden oplossen. 

Hoe werkt een pentest? 

Een Surelock pentest bestaat uit verschillende fases. We starten met een kennismakingsgesprek met de betreffende organisatie. In dit kennismakingsgesprek stellen we het onderzoeksgebied (ook wel “de scope”) van de pentest vast en geven we advies over de meest waardevolle manier van pentesten voor jouw organisatie. Een pentest is dus altijd maatwerk in samenwerking met de betreffende organisatie.  

Het is daarom belangrijk om het doel van de pentest vooraf duidelijk in beeld te hebben. Om de werkzaamheden van de penetratietest te kunnen vaststellen is informatie van de organisatie nodig. Op basis van het introductiegesprek wordt een offerte op maat gemaakt voor de organisatie Het doel beschrijft, de scope, het soort pentest en de tijdsduur van de pentest. Daarnaast worden ook de algemene en specifieke voorwaarden van de pentest besproken. Ook de contactgegevens, verwerkersovereenkomst, en de kosten van de Surelock pentest worden besproken. Zo weet je voor voordat de pentest start waar je aan toe bent. 

Welke soorten pentesten zijn er?  

Er zijn drie soorten pentests die de technische beveiligingsrisico’s van een IT-infrastructuur, website of (mobiele) app in kaart kunnen brengen.  

De 3 soorten pentesten die er zijn: Black box pentesten, Grey box pentesten en white box pentesten.

Black box pentesten 

Bij een Black Box pentest verstrekt de opdrachtgever vooraf geen informatie aan de ethical hackers. Met andere woorden: zij gaan de systemen (website, IT-infrastructuur, mobiele apps, API-koppelingen) aanvallen zoals echte hackers dit zouden doen. Met als doel om kwetsbaarheden te vinden die kunnen worden uitgebuit. Middels open bronnen onderzoek (OSINT) (term uitleggen, evt linkje naar een bron) wordt de omgeving van de opdrachtgever van binnen en van buiten in kaart gebracht ter voorbereiding van de pentest. 

Voorbeeld van een black box pentest.

Grey Box pentesten 

Een Grey Box pentester heeft voor de test het toegang- en kennisniveau van een gebruiker, met verhoogde bevoegdheden op een van de  systemen bij de opdrachtegever. Deze aanpak wordt ingezetom vanaf het begin te richten op de systemen met het grootste risico en de grootste waarde. In plaats van tijd te besteden aan het zelf bepalen welke systemen de grootste risico’s bevatten. Het doel van Grey Box pentesting is dus om een meer gerichte en efficiënte beoordeling van de beveiliging van een netwerk te bieden dan een Black Box beoordeling. 

Vaak krijgt een Grey Box pentester ook een intern account binnen het systeem. Dit maakt het ook mogelijk om de beveiliging binnen de beveiligde omgeving te testen en een aanvaller die een langdurige toegang tot het netwerk heeft te simuleren. 

Voorbeeld van een grey box pentest.

White Box pentesten

Bij een White Box pentest – ook soms Crystal Box genoemd – geeft de opdrachtgever de ethical hackers al veel informatie over het bedrijf. Denk aan de software source code, functionaliteitenlijst, rollen/rechten matrix en de gedefinieerde scope. Zo kunnen de ethical hackers veel gerichter op zoek  naar de zwakke plekken van de IT-infrastructuur, website, apps en meer. 

Voorbeeld van een white box pentest. Witten box met daarin de tekst; White box testing.

Wat kost een pentest?  

Een pentest kost enkele duizenden euro’s, afhankelijk van de hoeveelheid werk die verricht moet worden volgens de opdracht. Deze werkzaamheden worden vooraf overeengekomen in een zogenaamd ‘scope’ document. Dit document beschrijft wat de aanleiding is voor de pentest, welke aandachtpunten belangrijk zijn voor de opdrachtgever, wat de overeengekomen tijdsduur is en op welke manier er achteraf verslagleging en overleg zal zijn. 

Een Surelock pentest start vanaf € 5135,- (ex. Btw). Deze prijs varieert op basis van de scope, complexiteit, omvang en wensen van de opdrachtgever. 

Het verschil tussen een tool en een pentest 

Een pentest kan dat niet veel sneller met een tool? Deze vraag komt vaak naar voren bij Surelock. Te begrijpen, wanneer je het woord pentest intypt in Google krijg je bij de advertenties al meerdere tools die aangeven te kunnen pentesten. De tools worden dus verkocht als pentest aan organisaties. Echter blijken de tools in werkelijkheid gewoon een tool te zijn. Beiden bieden waarde en geven inzicht in de kwetsbaarheden. Maar bij pentesten is het mensenwerk en geen automatische scan.

Wat is het verschil tussen een kwetsbaarheidsscan en een pentest?

In het kort; het doel van Vulnerability Scanning is het in beeld brengen van de Security van een organisatie, hoe is dit geregeld en wat zijn de eventuele zwaktes. Een pentest gaat verder dan een vulnerability scan door niet alleen de gevonden kwetsbaarheden weer te geven maar deze ook daadwerkelijk te testen. Het is daarom verstandig om eerst een beeld te krijgen van je doormiddel van een kwetsbaarheidsscan voordat je start met pentesten.

Een pentest is veel meer dan alleen maar scannen 

Een pentest is veel meer dan alleen maar scannen. Een voorbeeld: een scan tool die geautomatiseerd een netwerk bekijkt en zoekt naar bekende kwetsbaarheden zorgt ervoor dat je snel inzicht krijgt in de kwetsbaarheden die er zijn. In veel gevallen kun je databases als MITRE ATT&CK gebruiken om aan te tonen waar een kwetsbaarheid zich kan bevinden.  

Ook toont deze kwetsbaarheden scan wat de impact kan zijn als je de IT-kwetsbaarheid niet snel dicht. Tijdens een pentest kijken wij verder dan dit, naar de zaken die een scanner niet kan zien. Denk bijvoorbeeld aan back-up bestanden die niet betrouwbaar blijken te zijn of hardware op een netwerk waar werkelijk de hele organisatie in kan. Hier vind je mogelijk documenten die je niet zou willen delen met de gehele organisatie, zoals persoonsgegevens, klant gegevens of financiële data. 

Automatische scanners testen niet de integriteit van mensen, een pentest doet dit wel. 

Nog een laatste voorbeeld over het verschil tussen automatische scanners en een pentest. Vaak wordt gedacht dat een pentest zich enkel bezighoudt met software. Soms komt hardware ook binnen de scope van een pentest terecht. Echter, komt het vaker voor dat je een organisatie kunt pentesten op het menselijk handelen. Er kunnen enorm veel tools worden ingezet om een beeld te krijgen van de staat van de huidige software en hardware die gebruikt worden. Zelfs tijdens het pentesten kan dat nog, maar er is geen enkele scanner die geautomatiseerd de integriteit van mensen kan testen. Daarvoor is nog altijd sociaal engineering nodig. 

Het pentesten van software, hardware en mensen op kwetsbaarheden blijft dus gewoon mensenwerk. Het is dan ook verstandig om een pentest uit te (laten) voeren waarbij in kaart wordt gebracht waar de kwetsbaarheden zich bevinden, hoe deze uitgebuit kunnen worden en wat je er als organisatie aan kunt doen. 

Vraag direct een pentest offerte aan

Wat is een pentest rapport en hoe ziet een pentest rapport eruit? 

De pentesten die wij uitvoeren zijn altijd op maat gemaakt. Wij luisteren naar de organisatie en voeren de pentest uit volgens de afspraken die we maken tijdens het introductiegesprek. Logisch en overzichtelijk. Zo is het ook met de pentest rapport dat we maken. 

Bij Surelock geven wij altijd een duidelijk overzicht van de bevindingen. Wat hebben we gevonden en waarom vinden we dat we deze bevinding moeten priorteren als “Hoog”, “Laag” of “Kritiek”. Enkel een zogenaamde CVSS vinden wij niet genoeg. Je moet immers als beslissingsmaker ook begrijpen wat er in het pentestrapport moet staat en wat de impact is als een bevinding niet opgelost wordt. 

Wij leveren een leesbaar rapport op. 

Naast het overzicht met de bevindingen bespreken wij de meest kritieke bevindingen in een managementsamenvatting. Dat doen we in ‘Jip-en-Janneketaal’ met zo min mogelijk technische moeilijkheden. Zo kan iedereen er ook echt iets van vinden zonder dat je een achtergrond in de ICT hoeft te hebben of het systeem dat getest is door en door kent. Je weet dus direct waar je aan toe bent met je organisatie. 

Wanneer kwetsbaarheden een direct gevaar kunnen opleveren, nemen wij direct contact op. 

Misschien ook goed om te weten: mochten we op direct gevaar stuiten tijdens het pentesten dan wachten we niet tot het rapport met het melden hiervan. Dit doen wij meteen tijdens de pentest.  

Geen zorgen, de technische informatie krijg je ook 

Natuurlijk gaan we in op de bevindingen van de pentest. Die lichten we juist wél technisch toe. Dat is nodig, want zo weet een ontwikkelaar of een IT-beheerder precies wat hem of haar te doen staat. De bevindingen die we doen beschrijven we, geven een op maat gemaakt advies, beschrijven hoe we de bevinding hebben gevonden (het bewijsmateriaal) en laten we zien hoe dit door de ontwikkelaar of IT-beheerder nagebootst kan worden. Natuurlijk vullen wij dit aan met screenshots of een demo wanneer dit nodig is. 

Conclusie je krijgt een complete rapport

Goed om te weten: alle ruwe feiten en data van de pentest zijn eigendom van de organisatie. Dus wanneer we een kwetsbare service aantonen, nemen we deze mee in de bevindingenlijst. Maar ook alle andere services en poorten nemen we mee in de rapport. Zo krijgt de opdrachtgever een complete rapport van de pentest.  

Hoe leer je pentesten?  

Simpel oefenen, oefenen en nog eens oefenen. Voor het worden van een pentester heb je veel ervaring nodig met de tools en moet je de data uit de tools kunnen koppelen aan de IT-kwetsbaarheden bij de omgeving. Voor het bekend worden met deze tools zijn er verschillende hulpprogramma’s zoals, try hack me – voor online informatiebeveiliging training of Hack the box – hier kan je hack scenario’s na spelen in een veilige omgeving.  

Ook kan je bij verschillende bedrijven een intership volgen waarin je wordt opgeleid tot pentester. Zo heeft de Surelock academie een pentest traineeship. Hierin word je binnen een jaar opgeleid tot pentester. Het voordeel van een traineeship aan de Surelock academie is de persoonlijk begeleiding van ervaren pentesters zoals: Nico Verwoerd. Na het volgen van het traineeship bepaal je zelf wat je doet ga je door als pentester bij Surelock of wil je je kennis ergens anders vergroten. 

 

6 tools die tijdens pentesten gebruikt kunnen worden:

De hieronder genoemde tools zijn pas een tipje van de sluier. Mocht je interesse hebben in de tools die Surelock gebruikt kan je contact met ons opnemen via de site.  

  1. SimplyEmail, is een handige tool voor e-mailverkenning die wordt gebruikt om informatie op internet te verzamelen op basis van iemands e-mailadres.
  2. Wireshark, is een netwerkprotocolanalysator. Dit betekent dat netwerkverkeer dat via Wireshark is vastgelegd, kan laten zien welke protocollen en systemen op dit moment online staan en welke accounts het meest actief zijn.
  3. Netsparker, is een geautomatiseerde scanner die kwetsbaarheden zoals SQL-injectie en cross-site scripting in webapplicaties en web-API’s kan identificeren.
  4. Zmap, is een lichtgewicht netwerkscanner die alles kan scannen, van een thuisnetwerk tot het internet. Deze gratis netwerkscanner kan het beste worden gebruikt om basisgegevens over een netwerk te verkrijgen. 
  5. Xray, is een goede tool om geautomatiseerd netwerk OSINT informatie te verzamelen en netwerk mapping vereenvoudigen.
  6. Outpost24, is een internationaal gerenommeerde vulnerability scanner voor netwerk scans, webapplicatiescans en cloud-configuratie benchmarking. 

Waarom pentesten?  

Je kan haast niet meer om informatiebeveiliging heen. Je opent nu.nl en ziet het staan: “datalek bij …..”. Sinds 25 mei 2018 ben je verplicht je te houden aan de algemene verordening gegevensbescherming (AVG). Hierin staat dat persoonsgegevens moeten worden beschermt tegen datalekken en misbruik.  

Door hierbij passende maatregelen toe te passen zowel op technisch als organisatorisch vlak, kan je persoonsgegevens beschermen. Pentesten behoort tot een van deze maatregelen, omdat je inzichtelijk maakt wat de risico’s en kwetsbaarheden zijn van de onderzochte organisatie. Ook wordt er tijdens een pentest gecontroleerd of de persoonsgegevens goed beveiligd zijn. Aan het einde van de pentest wordt er een duidelijk rapport gepresenteerd zoals hierboven al nader is toegelicht. In dit rapport krijg jij in zowel ‘Jip-en-Janneke-taal’, als in technische onderbouwing, de gevonden risico’s overzichtelijk aangeboden. Waarna je vervolgens aan de slag kan met het oplossen van deze risico’s.  

Een pentest is dus het extra stap je dat je als organisatie kan zetten op het gebied van informatiebeveiliging. Ben jij na het lezen van dit verhaal benieuwd geworden naar een Surelock pentest? Vraag hem dan direct aan of start met een kennismakingsgesprek.  

Geschreven door: Stefan Schepers

Vraag direct een pentest aan Of bekijk onze pentest product pagina
 
Delen: Pentesten voor organisaties: alles wat je moet weten over wat pentesten is en hoe pentesten in zijn werking gaat (2021)

Door

- Stefan Schepers
Marketing manager
foto van een jongen aan het lachen in zwart wit

Neem contact op

Wij helpen je graag verder.
E-mails beantwoorden wij binnen 1 werkdag.

Bel ons:

0348 - 796 146

Telefonisch bereikbaar op

Maandag
Dinsdag
Woensdag
Donderdag
Vrijdag
Zaterdag
Zondag

08:00 – 18:00
08:00 – 18:00
08:00 – 18:00
08:00 – 18:00
08:00 – 18:00
Gesloten
Gesloten