Waarom pentesten nodig is voor je organisatie | Surelock

| Leestijd: 13 minuten

Met onze jarenlange ervaring in pentesten weten wij precies wat er allemaal bij een pentest komt kijken. Ben je een particulier en wil je meer informatie over het onderwerp pentesten? Dan raden wij je aan om eens te kijken bij het ncsc. 

Vraag direct een pentest offerte aan

Over de auteur 

Bij Surelock zijn wij dagelijks bezig met het uitvoeren van pentesten voor bedrijven. Wij weten als geen ander hoe belangrijk het is om in regelmaat je IT-systemen te testen. Echter zien wij vaak in de praktijk dat pentesten voor veel bedrijven nog niet hoog op het prioriteitenlijstje staat en er geen of nauwelijks aandacht aan wordt besteed.   

Vaak wordt het belang van pentesten pas duidelijk nadat cybercriminelen systemen hebben geblokkeerd of data hebben gestolen. Cybercriminaliteit zijn de afgelopen jaren slimmer en sluwer geworden. Daarnaast kunnen ze met relatief weinig kennis en inspanning veel slachtoffers maken. Dit komt doordat de benodigde techniek voor het succesvol uitvoeren van een hack steeds toegankelijker is geworden.  

Bij Surelock beschikken we over professionals met jarenlange ervaring in de cybersecurity. Wij weten hoe cybercriminelen te werk gaan en wat je er tegen kunt doen. Dit artikel is geschreven voor bedrijven die liever voor hun accreditaties in het nieuws willen komen dan vanwege hun datalek. 

In dit artikel leggen we je alles uit over pentesten.

Wat is een pentest? 

Een pentest een afkorting van ‘penetratie testen’. Een pentest is een test waarbij een ethische hacker zich voordoet als een cybercrimineel en probeert binnen te dringen tot de site, applicatie of IT-systemen van een organisatie.

Het doel van pentesten is het achterhalen van risico’s en zwakheden binnen de geteste omgeving. Na het uitvoeren van de pentest kun je met gerichte actiepunten deze IT-kwetsbaarheden oplossen.

Hoe werkt pentesten? 

Door een combinatie van geautomatiseerde tooling en creativiteit proberen de hackers toegang te krijgen tot de systemen. Dit betekent dus eigenlijk dat zowel tools als software wordt gebruikt. Maar ook handmatige aanvalstechnieken. Dit binnen dringen is mogelijk wanneer er zwaktes of kwetsbaarheden te vinden zijn.

Maar zo’n test mag natuurlijk niet zonder toestemming dit vormt namelijk het belangrijkste verschil tussen een ethische hacker en een cybercrimineel. Een pentest vindt dan ook altijd plaats in opdracht en met toestemming van de eigenaren van de systemen die getest worden.

Na het uitvoeren van een pentest, worden de bevindingen door middel van een rapport en een toelichting met de opdrachtgever gedeeld. In dit rapport worden de gevonden kwetsbaarheden nauwkeurig beschreven, en door middel van CVSS gerangschikt en worden er adviezen gegeven waarmee de kwetsbaarheden verholpen kunnen worden.

Van CVE to CVSS

Een CVE staat voor Common Vulnerabilities and Exposures. CVE is een databank met informatie over kwetsbaarheden in IT-systemen en netwerken.

CVSS is Common Vulnerability Scoring System. CVSS wordt gebruikt om een score te geven aan een zwakke plek in software. Hoe hoger de score, hoe groter het risico. Een organisatie kan deze score gebruiken om te bepalen welke risico’s het grootst zijn.

Wanneer een IT-systeem een kwetsbaarheid heeft wordt deze beschreven als CVE en om meer duidelijkheid te geven wordt er een score aan gehangen de CVSS. Als je pentest uitvoert kan het zijn dat je in je pentest rapport verschillende cve’s ziet staan met een CVSS.

Welke soorten pentesten zijn er?  

Surelock levert voor elke opdracht een plan op maat. Voor elke organisatie is een andere werkwijze gewenst. Surelock hanteert drie soorten pentesten die de technische beveiligingsrisico’s van een IT-infrastructuur, website of (mobiele) app in kaart kunnen brengen.  

3 soorten pentesten

Black Box pentesten 

Tijdens een Black Box pentest geeft de opdrachtgever geen informatie aan de ethische hackers. Middels open bronnen onderzoek (OSINT) wordt de omgeving van de opdrachtgever van binnen en buiten in kaart gebracht ter voorbereiding op de pentest. Hierdoor kan de meest realistische hack worden nagebootst. Met als doel om kwetsbaarheden te vinden die kunnen worden uitgebuit.

Black box pentesten

Grey Box pentesten 

Een Grey Box pentester heeft voor de test het toegang- en kennisniveau van een gebruiker, met verhoogde bevoegdheden binnen de systemen bij de opdrachtgever. Deze aanpak zorgt ervoor dat er bepaalde targets gekozen kunnen worden. In plaats van tijd te besteden aan het zelf bepalen welke systemen de grootste risico’s bevatten. Het voordeel van Grey Box pentest is dat het een gerichte en efficiënte beoordeling van de beveiliging van een netwerk te bieden.

Vaak krijgt een Grey Box pentester ook een intern account binnen het systeem. Dit maakt het ook mogelijk om de beveiliging binnen de beveiligde omgeving te testen en een aanvaller die een langdurige toegang tot het netwerk heeft te simuleren. 

grey box pentesten

White Box pentesten

Met een White Box pentest – ook wel Crystal Box genoemd – geeft de opdrachtgever de ethische hackers informatie over de organisatie. Denk aan de software source code, functionaliteitenlijst, rollen/rechten matrix en de gedefinieerde scope. Hierdoor kunnen de ethische hackers tijdens het pentesten veel gerichter op zoek naar de risico’s van de IT-infrastructuur, website, apps en meer. Dit resulteert in een beter inzicht van je interne omgeving.

White box pentesten

Wat kost een pentest?  

Over het algemeen kosten pentesten enkele duizenden euro’s en is afhankelijk van de hoeveelheid werk die verricht moet worden volgens de opdrachtgever. Deze werkzaamheden worden vooraf overeengekomen in een zogenaamd ‘scope’ document. Dit document beschrijft wat de aanleiding is voor de pentest, welke aandachtspunten belangrijk zijn voor de opdrachtgever, wat de overeengekomen tijdsduur is en op welke manier er achteraf verslaglegging en overleg zal zijn. 

Een Surelock pentest start vanaf € 5135,- (ex. Btw). Deze prijs varieert op basis van de scope, complexiteit, omvang en wensen van de opdrachtgever. Wil jij nu ook een pentest uitvoeren? Vraag een gesprek met een van onze adviseurs aan.

Het verschil tussen een tool pentesten

Zo’n pentest kan dat niet veel sneller met een tool? Deze vraag komt vaak naar voren bij Surelock. Te begrijpen, wanneer je het woord pentest intypt in Google krijg je bij de advertenties al meerdere tools die aangeven te kunnen pentesten. De tools worden verkocht als pentest aan organisaties. Echter blijken de tools in werkelijkheid gewoon een tool te zijn. Beiden bieden waarde en geven inzicht in de kwetsbaarheden. Maar bij pentesten is het mensenwerk en geen automatische scan.

Wat is het verschil tussen een vulnerabilityscanning en pentesten?

Een vulnerability scan is een geautomatiseerde procedure die risico’s en zwaktes van jou organisatie in kaart brengt. Daardoor beperkt een vulnerability scan zich tot bekende beveiligingsfouten, je kan immers niet constateren wat je nog niet weet.

Een pentest en vulnerability scan worden beide uitgevoerd om kwetsbaarheden van je organisatie in kaart te brengen. Echter zijn er een paar verschillen. Een vulnerability scan is een test dat naar potentiële kwetsbaarheden zoekt en rapporteert. Bij een pentest wordt ernaast geautomatiseerde ook handmatige tools gebruikt. Pentesten is een praktijkonderzoek wat uitgevoerd wordt door een persoon om zwakte punten op te zoeken en uit te buiten. Hierdoor vergt een pentest meer tijd en budget in tegenstelling tot een vulnerability scan. Een pentest is dus altijd menswerk en vergt een goede voorbereiding.

Een vulnerability scan is een goede start in de kwetsbaarheden van je organisatie en een pentest is een logisch gevolg voor meer details aan te brengen. Kort samengevat gaat een vulnerability scan in de breedte en een pentest in de diepte.

Pentesten is meer dan alleen maar naar kwetsbaarheden scannen 

Pentesten is veel meer dan alleen maar scannen. Een voorbeeld: een scan tool die geautomatiseerd een netwerk bekijkt en zoekt naar bekende kwetsbaarheden zorgt ervoor dat je snel inzicht krijgt in de kwetsbaarheden die er zijn. In veel gevallen kun je databases als MITRE ATT&CK gebruiken om aan te tonen waar een kwetsbaarheid zich kan bevinden.  

Ook toont deze vulnerability scan wat de impact kan zijn als je de IT-kwetsbaarheid niet snel dicht. Tijdens een pentest kijken wij verder dan dit, naar de zaken die een scanner niet kan zien. Denk bijvoorbeeld aan back-up bestanden die niet betrouwbaar blijken te zijn of hardware op een netwerk waar werkelijk de hele organisatie in kan. Hier vind je mogelijk documenten die je niet zou willen delen met de gehele organisatie, zoals persoonsgegevens, klant gegevens of financiële data. 

Vraag direct een pentest offerte aan

Wat is een pentest rapport? 

De pentesten die wij uitvoeren zijn altijd op maat gemaakt. Wij luisteren naar de organisatie en voeren de pentest uit volgens de afspraken die we maken tijdens het introductiegesprek. Logisch en overzichtelijk. Zo is het ook met de pentest rapport dat we maken. 

Bij Surelock geven wij altijd een duidelijk overzicht van de bevindingen. Wat hebben we gevonden en waarom vinden we dat we deze bevinding moeten prioriteren als “Hoog”, “Laag” of “Kritiek”. Enkel een zogenaamde CVSS vinden wij niet genoeg. Je moet immers als beslissingsmaker ook begrijpen wat er in het pentest rapport moet staat en wat de impact is als een bevinding niet opgelost wordt. 

Wij leveren een leesbaar rapport op. 

Naast het overzicht met de bevindingen bespreken wij de meest kritieke bevindingen in een managementsamenvatting. Dat doen we in ‘Jip-en-Janneketaal’ met zo min mogelijk technische moeilijkheden. Zo kan iedereen er ook echt iets van vinden zonder dat je een achtergrond in de ICT hoeft te hebben of het systeem dat getest is door en door kent. Je weet dus direct waar je aan toe bent met je organisatie. 

Wanneer kwetsbaarheden een direct gevaar kunnen opleveren, nemen wij direct contact op. 

Misschien ook goed om te weten: mochten we op direct gevaar stuiten tijdens het pentesten dan wachten we niet tot het rapport met het melden hiervan. Dit doen wij meteen tijdens de pentest.  

Geen zorgen, de technische informatie krijg je ook 

Natuurlijk gaan we in op de bevindingen van de pentest. Die lichten we juist wél technisch toe. Dat is nodig, want zo weet een ontwikkelaar of een IT-beheerder precies wat hem of haar te doen staat. De bevindingen die we doen beschrijven we, geven een op maat gemaakt advies, beschrijven hoe we de bevinding hebben gevonden (het bewijsmateriaal) en laten we zien hoe dit door de ontwikkelaar of IT-beheerder nagebootst kan worden. Natuurlijk vullen wij dit aan met screenshots of een demo wanneer dit nodig is. 

Conclusie je krijgt een complete rapport

Goed om te weten: alle ruwe feiten en data van de pentest zijn eigendom van de organisatie. Dus wanneer we een kwetsbare service aantonen, nemen we deze mee in de bevindingenlijst. Maar ook alle andere services en poorten nemen we mee in de rapport. Zo krijgt de opdrachtgever een complete rapport van de pentest.  

Hoe leer je pentesten?  

Simpel oefenen, oefenen en nog eens oefenen. Voor het worden van een pentester heb je veel ervaring nodig met de tools en moet je de data uit de tools kunnen koppelen aan de IT-kwetsbaarheden bij de omgeving. Voor het bekend worden met deze tools zijn er verschillende hulpprogramma’s zoals, try hack me – voor online informatiebeveiliging training of Hack the box – hier kan je hack scenario’s na spelen in een veilige omgeving.  

Ook kan je bij verschillende bedrijven een intership volgen waarin je wordt opgeleid tot pentester. Zo heeft de Surelock academie een pentest traineeship. Hierin word je binnen een jaar opgeleid tot pentester. Het voordeel van een traineeship aan de Surelock academie is de persoonlijk begeleiding van ervaren pentesters zoals: Nico Verwoerd. Na het volgen van het traineeship bepaal je zelf wat je doet ga je door als pentester bij Surelock of wil je je kennis ergens anders vergroten. 

Leren pentesten

 

6 tools die gebruikt worden door tijdens pentesten:

De hieronder genoemde tools zijn pas een tipje van de sluier. Mocht je interesse hebben in de tools die Surelock gebruikt kan je contact met ons opnemen via de site.  

  1. SimplyEmail, is een handige tool voor e-mailverkenning die wordt gebruikt om informatie op internet te verzamelen op basis van iemands e-mailadres.
  2. Wireshark, is een netwerkprotocolanalysator. Dit betekent dat netwerkverkeer dat via Wireshark is vastgelegd, kan laten zien welke protocollen en systemen op dit moment online staan en welke accounts het meest actief zijn.
  3. Netsparker, is een geautomatiseerde scanner die kwetsbaarheden zoals SQL-injectie en cross-site scripting in webapplicaties en web-API’s kan identificeren.
  4. Zmap, is een lichtgewicht netwerkscanner die alles kan scannen, van een thuisnetwerk tot het internet.
  5. Xray, is een goede tool om geautomatiseerd netwerk OSINT informatie te verzamelen en netwerk mapping vereenvoudigen.
  6. Outpost24, is een internationaal gerenommeerde vulnerability scanner voor netwerk scans, webapplicatiescans en cloud-configuratie benchmarking. 

Waarom pentesten?  

Je kan haast niet meer om informatiebeveiliging heen. Je opent nu.nl en ziet het staan: “datalek bij …..”. Sinds 25 mei 2018 ben je verplicht je te houden aan de algemene verordening gegevensbescherming (AVG). Hierin staat dat persoonsgegevens moeten worden beschermt tegen datalekken en misbruik.  

Door hierbij passende maatregelen toe te passen zowel op technisch als organisatorisch vlak, kan je persoonsgegevens beschermen. Pentesten behoort tot een van deze maatregelen, omdat je inzichtelijk maakt wat de risico’s en kwetsbaarheden zijn van de onderzochte organisatie. Gedurende een pentest wordt er gecontroleerd of de persoonsgegevens goed beveiligd zijn.

Na het pentesten wordt er een duidelijk rapport gepresenteerd. In dit rapport krijg jij in zowel ‘Jip-en-Janneke-taal’, als in technische onderbouwing, de gevonden risico’s overzichtelijk aangeboden. Waarna je vervolgens aan de slag kan met het oplossen van deze risico’s.  

Een pentest is dus het extra stap je dat je als organisatie kan zetten op het gebied van informatiebeveiliging. Ben jij na het lezen van dit verhaal benieuwd geworden naar een Surelock pentest? Vraag hem dan direct aan of start met een kennismakingsgesprek.  

Vraag direct een pentest aan

Geschreven door: Stefan Schepers

 
Delen: Waarom pentesten nodig is voor je organisatie | Surelock

Door

- Stefan Schepers
security professional
Man 22 jaar op de foto met een glimlach en blauwe blouse. Medewerker marketing bij Surelock Stefan Schepers

Veel gestelde vragen

Wanneer is het verstandig om mijn organisatie te laten pentesten?

Hackers worden slimmer en sluwer in het stelen van data. Wees cybercriminelen een stap voor door jouw organisatie periodiek te pentesten. Hierdoor waarborg je de veiligheid van jouw organisatie.

Hoe bereid ik mijn organisatie voor op pentesten?

Voordat je als organisatie een pentest gaat uitvoeren moet je een paar belangrijke vragen beantwoorden. Vragen als: Wat voor gegevens zitten er in de IT-omgeving die gesteld wordt? Welke functies zijn er binnen deze IT-omgeving? Wie maken er gebruik van de IT-omgeving die jij gaat testen?

Voor welke vorm van pentesten moet ik kiezen?

Als organisatie is het belangrijk dat voor aanvragen van pentesten goed nagedacht wordt welke soort en methodiek bij jouw bedrijf past. Welke omgeving wil je testen? Een white box pentest geeft je een allround inzicht van je interne infrastructuur. Wil je meer inzicht tot je externe omgeving? Overweeg dan een black box pentest. Wil je beide omgevingen testen? Bekijk dan de mogelijkheden van een grey box pentest.

Hoe lang duurt de uitvoering van pentesten?

Surelock maakt voor elke klant een plan op maat, wij geloven dat elke klant uniek is. Een goede pentest is mensenwerk en kost tijd. Het uitvoeren van een pentest heeft een doorlooptijd van 1 á 2 weken, de opstarttijd is meestal 1 maand. Je kan dus binnen 1,5 maand een pentest uitvoeren op jouw organisatie.