Pentesten voor organisaties: alles wat je moet weten over wat pentesten is en hoe pentesten in zijn werking gaat (2022)

| Leestijd: 13 minuten

Met onze jarenlange ervaring in pentesten weten wij precies wat er allemaal bij een pentest komt kijken. Ben je een particulier en wil je meer informatie over het onderwerp pentesten? Dan raden wij je aan om eens te kijken bij het ncsc. 

Over de auteur 

Bij Surelock zijn wij dagelijks bezig met het pentesten van bedrijven. Toch beseffen we dat pentesten voor veel bedrijven nog niet hoog op het prioriteitenlijstje staat.  

Vaak wordt het belang van pentesten pas duidelijk nadat cybercriminelen systemen hebben geblokkeerd of data hebben gestolen. Tegelijkertijd kunnen anno 2022 cybercriminelen met relatief weinig kennis en inspanning veel slachtoffers maken. Omdat de benodigde techniek voor het succesvol uitvoeren van een hack steeds toegankelijker wordt.  

Door onze jarenlange ervaring in het vak weten we hoe cybercriminelen te werk gaan en wat je er tegen kunt doen. Dit artikel is dan ook geschreven voor bedrijven die liever voor hun accreditaties in het nieuws willen komen dan vanwege hun datalek. 

Laten we starten bij het begin 

Wat is een pentest? 

In het kort: Pentesten is een afkorting van ‘penetratie testen’. Tijdens een pentest nemen pentesters de rol van een hacker op zich. Ze proberen op verschillende manieren en met alle mogelijke middelen toegang te krijgen tot de IT-systemen van de opdrachtgever.  

Op die manier geven ze de zwakke plekken van je site, applicatie of IT-systemen weer. Na het uitvoeren van de pentest kun je met gerichte actiepunten deze IT-kwetsbaarheden oplossen. 

Hoe werkt een pentest? 

Door een combinatie van geautomatiseerde tooling en creativiteit proberen de hackers toegang te krijgen tot de systemen. Dit betekent dus eigenlijk dat zowel tools als software wordt gebruikt. Maar ook handmatige aanvalstechnieken. Dit binnen dringen is mogelijk wanneer er zwaktes of kwetsbaarheden te vinden zijn.

Maar zo’n test mag natuurlijk niet zonder toestemming dit vormt namelijk het belangrijkste verschil tussen een ethische hacker en een cybercrimineel. Een pentest vindt dan ook altijd plaats in opdracht en met toestemming van de eigenaren van de systemen die getest worden.

Na het uitvoeren van een pentest, worden de bevindingen door middel van een rapport en een toelichting met de opdrachtgever gedeeld. In dit rapport worden de gevonden kwetsbaarheden nauwkeurig beschreven, en door middel van CVSS gerangschikt en worden er adviezen gegeven waarmee de kwetsbaarheden verholpen kunnen worden.

Van CVE to CVSS

Een CVE staat voor Common Vulnerabilities and Exposures. CVE is een databank met informatie over kwetsbaarheden in IT-systemen en netwerken.

CVSS is Common Vulnerability Scoring System. CVSS wordt gebruikt om een score te geven aan een zwakke plek in software. Hoe hoger de score, hoe groter het risico. Een organisatie kan deze score gebruiken om te bepalen welke risico’s het grootst zijn.

Wanneer een IT-systeem een kwetsbaarheid heeft wordt deze beschreven als CVE en om meer duidelijkheid te geven wordt er een score aan gehangen de CVSS. Als je pentest uitvoert kan het zijn dat je in je pentest rapport verschillende cve’s ziet staan met een CVSS.

Welke soorten pentesten zijn er?  

Er zijn drie soorten pentests die de technische beveiligingsrisico’s van een IT-infrastructuur, website of (mobiele) app in kaart kunnen brengen.  

De 3 soorten pentesten die er zijn: Black box pentesten, Grey box pentesten en white box pentesten.

Black box pentesten 

Tijdens een Black Box pentest verstrekt de opdrachtgever vooraf geen informatie aan de ethical hackers. Met andere woorden: zij gaan de systemen aanvallen zoals niet ethische hackers dit zouden doen. Met als doel om kwetsbaarheden te vinden die kunnen worden uitgebuit. Middels open bronnen onderzoek (OSINT) wordt de omgeving van de opdrachtgever van binnen en van buiten in kaart gebracht ter voorbereiding op de pentest. 

Voorbeeld van een black box pentest.

Grey Box pentesten 

Een Grey Box pentester heeft voor de test het toegang- en kennisniveau van een gebruiker, met verhoogde bevoegdheden op een van de  systemen bij de opdrachtgever. Deze aanpak zorgt ervoor dat er bepaalde targets gekozen kunnen worden. In plaats van tijd te besteden aan het zelf bepalen welke systemen de grootste risico’s bevatten. Het voordeel van Grey Box pentest is dus om een meer gerichte en efficiënte beoordeling van de beveiliging van een netwerk te bieden dan een Black Box beoordeling. 

Vaak krijgt een Grey Box pentester ook een intern account binnen het systeem. Dit maakt het ook mogelijk om de beveiliging binnen de beveiligde omgeving te testen en een aanvaller die een langdurige toegang tot het netwerk heeft te simuleren. 

grey box pentest

White Box pentesten

Met een White Box pentest – ook soms Crystal Box genoemd – geeft de opdrachtgever de ethical hackers al veel informatie over de organisatie. Denk aan de software source code, functionaliteitenlijst, rollen/rechten matrix en de gedefinieerde scope. Zo kunnen de ethische hackers veel gerichter op zoek naar de risico’s van de IT-infrastructuur, website, apps en meer. 

Voorbeeld van een white box pentest. Witten box met daarin de tekst; White box testing.

Wat kost een pentest?  

Over het algemeen kost een pentest enkele duizenden euro’s en is afhankelijk van de hoeveelheid werk die verricht moet worden volgens de opdrachtgever. Deze werkzaamheden worden vooraf overeengekomen in een zogenaamd ‘scope’ document. Dit document beschrijft wat de aanleiding is voor de pentest, welke aandachtspunten belangrijk zijn voor de opdrachtgever, wat de overeengekomen tijdsduur is en op welke manier er achteraf verslaglegging en overleg zal zijn. 

Een Surelock pentest start vanaf € 5135,- (ex. Btw). Deze prijs varieert op basis van de scope, complexiteit, omvang en wensen van de opdrachtgever. Wil jij nu ook een pentest uitvoeren? Vraag een gesprek met een van onze adviseurs aan.

Het verschil tussen een tool en een pentest 

Zo’n pentest kan dat niet veel sneller met een tool? Deze vraag komt vaak naar voren bij Surelock. Te begrijpen, wanneer je het woord pentest intypt in Google krijg je bij de advertenties al meerdere tools die aangeven te kunnen pentesten. De tools worden verkocht als pentest aan organisaties. Echter blijken de tools in werkelijkheid gewoon een tool te zijn. Beiden bieden waarde en geven inzicht in de kwetsbaarheden. Maar bij pentesten is het mensenwerk en geen automatische scan.

Wat is het verschil tussen een vulnerability scan en een pentest?

Laten we beginnen met de vulnerability scan: een vulnerability scan controleert IT-systemen op zwakheden via een volledig geautomatiseerde procedure. Daardoor beperkt een vulnerability scan zich tot bekende beveiligingsfouten, je kan immers niet constateren wat je nog niet weet.

Een pentest gaat verder dan een vulnerability scan. Pentesters gebruiken ook geautomatiseerde tools maar zoeken daarnaast ook handmatig naar zwakheden in de IT-omgeving. Doordat het handmatig werk is spelen beschikbare tijd, budget en de scope van de opdracht. Een pentest is dus altijd mensen werk en vergt daarom goede voorbereiding.

Een vulnerability scan is dus een goede start in de kwetsbaarheden van je organisatie en een pentest is een logisch gevolg voor meer details aan te brengen. Je kan dus stellen dat een vulnerability scan meer in de breedte gaat en een pentest in de diepte.

Een pentest is meer dan alleen maar naar kwetsbaarheden scannen 

Een pentest is veel meer dan alleen maar scannen. Een voorbeeld: een scan tool die geautomatiseerd een netwerk bekijkt en zoekt naar bekende kwetsbaarheden zorgt ervoor dat je snel inzicht krijgt in de kwetsbaarheden die er zijn. In veel gevallen kun je databases als MITRE ATT&CK gebruiken om aan te tonen waar een kwetsbaarheid zich kan bevinden.  

Ook toont deze vulnerability scan wat de impact kan zijn als je de IT-kwetsbaarheid niet snel dicht. Tijdens een pentest kijken wij verder dan dit, naar de zaken die een scanner niet kan zien. Denk bijvoorbeeld aan back-up bestanden die niet betrouwbaar blijken te zijn of hardware op een netwerk waar werkelijk de hele organisatie in kan. Hier vind je mogelijk documenten die je niet zou willen delen met de gehele organisatie, zoals persoonsgegevens, klant gegevens of financiële data. 

Vraag direct een pentest offerte aan

Wat is een pentest rapport? 

De pentesten die wij uitvoeren zijn altijd op maat gemaakt. Wij luisteren naar de organisatie en voeren de pentest uit volgens de afspraken die we maken tijdens het introductiegesprek. Logisch en overzichtelijk. Zo is het ook met de pentest rapport dat we maken. 

Bij Surelock geven wij altijd een duidelijk overzicht van de bevindingen. Wat hebben we gevonden en waarom vinden we dat we deze bevinding moeten prioriteren als “Hoog”, “Laag” of “Kritiek”. Enkel een zogenaamde CVSS vinden wij niet genoeg. Je moet immers als beslissingsmaker ook begrijpen wat er in het pentest rapport moet staat en wat de impact is als een bevinding niet opgelost wordt. 

Wij leveren een leesbaar rapport op. 

Naast het overzicht met de bevindingen bespreken wij de meest kritieke bevindingen in een managementsamenvatting. Dat doen we in ‘Jip-en-Janneketaal’ met zo min mogelijk technische moeilijkheden. Zo kan iedereen er ook echt iets van vinden zonder dat je een achtergrond in de ICT hoeft te hebben of het systeem dat getest is door en door kent. Je weet dus direct waar je aan toe bent met je organisatie. 

Wanneer kwetsbaarheden een direct gevaar kunnen opleveren, nemen wij direct contact op. 

Misschien ook goed om te weten: mochten we op direct gevaar stuiten tijdens het pentesten dan wachten we niet tot het rapport met het melden hiervan. Dit doen wij meteen tijdens de pentest.  

Geen zorgen, de technische informatie krijg je ook 

Natuurlijk gaan we in op de bevindingen van de pentest. Die lichten we juist wél technisch toe. Dat is nodig, want zo weet een ontwikkelaar of een IT-beheerder precies wat hem of haar te doen staat. De bevindingen die we doen beschrijven we, geven een op maat gemaakt advies, beschrijven hoe we de bevinding hebben gevonden (het bewijsmateriaal) en laten we zien hoe dit door de ontwikkelaar of IT-beheerder nagebootst kan worden. Natuurlijk vullen wij dit aan met screenshots of een demo wanneer dit nodig is. 

Conclusie je krijgt een complete rapport

Goed om te weten: alle ruwe feiten en data van de pentest zijn eigendom van de organisatie. Dus wanneer we een kwetsbare service aantonen, nemen we deze mee in de bevindingenlijst. Maar ook alle andere services en poorten nemen we mee in de rapport. Zo krijgt de opdrachtgever een complete rapport van de pentest.  

Hoe leer je pentesten?  

Simpel oefenen, oefenen en nog eens oefenen. Voor het worden van een pentester heb je veel ervaring nodig met de tools en moet je de data uit de tools kunnen koppelen aan de IT-kwetsbaarheden bij de omgeving. Voor het bekend worden met deze tools zijn er verschillende hulpprogramma’s zoals, try hack me – voor online informatiebeveiliging training of Hack the box – hier kan je hack scenario’s na spelen in een veilige omgeving.  

Ook kan je bij verschillende bedrijven een intership volgen waarin je wordt opgeleid tot pentester. Zo heeft de Surelock academie een pentest traineeship. Hierin word je binnen een jaar opgeleid tot pentester. Het voordeel van een traineeship aan de Surelock academie is de persoonlijk begeleiding van ervaren pentesters zoals: Nico Verwoerd. Na het volgen van het traineeship bepaal je zelf wat je doet ga je door als pentester bij Surelock of wil je je kennis ergens anders vergroten. 

2 personen aan het leren pentesten

 

6 tools die gebruikt worden door tijdens pentesten:

De hieronder genoemde tools zijn pas een tipje van de sluier. Mocht je interesse hebben in de tools die Surelock gebruikt kan je contact met ons opnemen via de site.  

  1. SimplyEmail, is een handige tool voor e-mailverkenning die wordt gebruikt om informatie op internet te verzamelen op basis van iemands e-mailadres.
  2. Wireshark, is een netwerkprotocolanalysator. Dit betekent dat netwerkverkeer dat via Wireshark is vastgelegd, kan laten zien welke protocollen en systemen op dit moment online staan en welke accounts het meest actief zijn.
  3. Netsparker, is een geautomatiseerde scanner die kwetsbaarheden zoals SQL-injectie en cross-site scripting in webapplicaties en web-API’s kan identificeren.
  4. Zmap, is een lichtgewicht netwerkscanner die alles kan scannen, van een thuisnetwerk tot het internet.
  5. Xray, is een goede tool om geautomatiseerd netwerk OSINT informatie te verzamelen en netwerk mapping vereenvoudigen.
  6. Outpost24, is een internationaal gerenommeerde vulnerability scanner voor netwerk scans, webapplicatiescans en cloud-configuratie benchmarking. 

Waarom pentesten?  

Je kan haast niet meer om informatiebeveiliging heen. Je opent nu.nl en ziet het staan: “datalek bij …..”. Sinds 25 mei 2018 ben je verplicht je te houden aan de algemene verordening gegevensbescherming (AVG). Hierin staat dat persoonsgegevens moeten worden beschermt tegen datalekken en misbruik.  

Door hierbij passende maatregelen toe te passen zowel op technisch als organisatorisch vlak, kan je persoonsgegevens beschermen. Pentesten behoort tot een van deze maatregelen, omdat je inzichtelijk maakt wat de risico’s en kwetsbaarheden zijn van de onderzochte organisatie. Gedurende een pentest wordt er gecontroleerd of de persoonsgegevens goed beveiligd zijn.

Na het pentesten wordt er een duidelijk rapport gepresenteerd. In dit rapport krijg jij in zowel ‘Jip-en-Janneke-taal’, als in technische onderbouwing, de gevonden risico’s overzichtelijk aangeboden. Waarna je vervolgens aan de slag kan met het oplossen van deze risico’s.  

Een pentest is dus het extra stap je dat je als organisatie kan zetten op het gebied van informatiebeveiliging. Ben jij na het lezen van dit verhaal benieuwd geworden naar een Surelock pentest? Vraag hem dan direct aan of start met een kennismakingsgesprek.  

Geschreven door: Stefan Schepers

Vraag direct een pentest aan Of bekijk onze pentest product pagina
 
Delen: Pentesten voor organisaties: alles wat je moet weten over wat pentesten is en hoe pentesten in zijn werking gaat (2022)

Door

- Stefan Schepers
Marketing manager
Man 22 jaar op de foto met een glimlach en blauwe blouse. Medewerker marketing bij Surelock Stefan Schepers

Neem contact op

Wij helpen je graag verder.
E-mails beantwoorden wij binnen 1 werkdag.

Bel ons:

0348 - 796 146

Telefonisch bereikbaar op

Maandag
Dinsdag
Woensdag
Donderdag
Vrijdag
Zaterdag
Zondag

08:00 – 18:00
08:00 – 18:00
08:00 – 18:00
08:00 – 18:00
08:00 – 18:00
Gesloten
Gesloten