Pentesten is een techniek waarbij een ethische hacker met toestemming op allerlei verschillende manieren toegang probeert te krijgen tot de geteste IT-omgeving. Het doel van de pentest is om de zwakke punten van een website, applicatie of zelfs volledige IT-infrastructuur in kaart te brengen. Door middel van een pentest kunt u uw bedrijf beschermen tegen een (data) lek.

Op welke manieren kunnen pentesten worden uitgevoerd?

Bij Surelock kunnen er op drie verschillende manieren een pentest worden uitgevoerd om kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps aan het licht te brengen. Deze verschillende methodieken zijn black, grey of white (crystal) box pentest genoemd. Lees hieronder in de FAQ de verschillen tussen de aanvalsmethodieken.

Wat is het grootste verschil tussen een black en white box pentest?

Een black box pentest en een white box pentest zijn twee uiterste van elkaar. De twee soorten pentesten hebben ieder een ander doel. Een zwart box pentest wordt gebruikt om zwakheden in de externe IT-omgeving te vinden, er wordt als het ware een echte aanval nagebootst. In tegenstelling tot een zwart box pentest ligt de nadruk bij het white box pentesten niet op de externe maar interne omgeving. Bij een white box pentest wordt de interne software getest tussen de interactie van verschillende interfaces en subsystemen. Een ander groot verschil is dat white box pentester vooraf informatie over de IT- omgeving krijgen. Bij een black box wordt er vooraf geen informatie verschaft.

Wat is het verschil tussen een black box en grey box pentest?

Er zijn meerdere verschillen tussen een black en grey box pentest. Zo wordt er bij deze vorm van pentest geen informatie aan een ethische hacker verschaft. Een grey box pentest is een mix tussen een white box pentest en een black box pentest.

In welke situaties kun je het beste voor een black box pentest kiezen?

Een black box pentest kan je het beste gebruiken wanneer je een omgeving wilt doorlichten zoals een daadwerkelijke hacker dit zou doen. Er wordt dus geen informatie vooraf gegeven alleen een scope afgesproken en de tijdsduur. In deze afgesproken tijd krijgen de aanvallers de mogelijkheid om jouw omgeving aan te vallen. Met als doel de informatiebeveiliging verbeteren.

Black box vs white box pentest

Het verschil tussen deze 2 soorten zit hem in de uitvoering van de test. Tijdens een white box test krijgt de ethische hacker toegang tot de gehele omgeving. Bijvoorbeeld inlogggevens, wachtwoorden en achtergrond informatie. Met een black box test krijg je inzicht zoals dit in de werkelijkheid zal zijn. Een ethische hacker valt namelijk de door jouw gekozen scope aan zoals een daadwerkelijke hacker dit doet. Het grootste verschil zit hem dus in de methodiek die er gebruikt wordt tijdens de aanval.

13 juli 2022 • Stefan Schepers • Laatst bewerkt op 5 februari 2025

Black box pentest

Leestijd: 4 minuten

Binnen het pentesten zijn er drie opties om meer inzicht te krijgen op de risico’s van je IT-omgeving. Je kunt een Grey box pentest, White box pentest of Black box pentest uitvoeren. Het verschil tussen de verschillende pentesten leggen we je uit op onze pentest pagina. In deze blog zoomen we in op de black box pentest. Wat is het? En wanneer gebruik je deze vorm van penetratietest?

Wat is een black box pentest?

Een black box pentest is een cyberaanval die met goedkeuring van de opdrachtgever kan worden uitgevoerd. Voor dat de pentest begint is er geen informatie aan de pentester gegeven. Op deze manier krijg je een goed beeld van de veiligheid van je website, infrastructuur, applicaties of (web) apps.

Deze vorm van pentesten brengt in beeld hoe de organisatie eruit ziet vanuit het perspectief van een daadwerkelijke hacker. Echter is het een ethische hacker die ingehuurd is door de opdrachtgever/ organisatie zelf.

Vraag een black box pentest aan

Wanneer heb je als organisatie een black box pentest nodig?

Deze vorm van pentesten heb je nodig wanneer je een goed eerste beeld van de beveiligingsomgeving wilt krijgen. Of inzicht wilt hebben op je omgeving vanuit een extern oogpunt. Wel is er vaak een scope bij de deze vorm van pentesten. Dit om te voorkomen dat er onderdelen getest gaan worden die er niet toe doen.

Voorbeeld van een black box pentest

Als organisatie heb je een webapplicatie waarin er klantgegevens verwerkt worden. Dit platform is voor de organisatie van groot belang. Als organisatie ben je namelijk verplicht om de klantgegevens te beschermen volgens de AVG.

Zelf denk je wellicht dat je beschermt bent tegen cybercriminaliteit echter heb je dit nog niet getest. Hoe ga je dit doen? En waar moet je beginnen? Wanneer je een pentester inhuurt voor een black box pentest wordt het platform vanaf buiten bekeken. Waardoor je meer inzicht krijgt in de opbouw van het platform.

Na het uitvoeren van de pentest heb je dus zicht op de algemene risico’s en weet jij waar de valkuilen in het systeem zitten. Vervolgens kan je een vervolg pentest uitvoeren en deze risico’s oplossen en laten hertesten met een specifiekere scope.

Wat zijn de voordelen van een black box pentest?

Voordelen:

Met dit soort pentest krijg je een werkelijk beeld van de veiligheid van je organisatie. Dit omdat de pentester vooraf geen informatie heeft.
De pentest zorgt voor grondig inzicht in de omgeving van de pentester.
Als start kan een pentest een goed algemeen beeld geven van je organisatie.

Wat zijn de nadelen van deze vorm pentest?

Nadelen:

Een black box pentest is niet efficiënt omdat de hacker geen informatie vooraf krijgt. Wat zorgt voor extra werk voor de ethische hacker. Dit lijdt tot meer kosten dan wanneer je een grey- of white box pentest uitvoert.
Minder diepgang in het pentest rapport. De ethische hackers kunnen als het goed is niet in alle systemen binnendringen dus kunnen ze deze omgevingen niet testen. Dit zorgt voor minder gedetailleerde aanbevelingen in het rapport.

Hoe gaat Surelock om met gevoelige data?

Binnen Surelock gaan wij discreet om met de data van onze klanten. Alle medewerkers van Surelock zijn uitvoerig getraind in het beschermen van deze data. Ook heeft iedere medewerker een VOG en zijn wij ISO27001 gecertificeerd.

Als Cybersecuritybedrijf realiseren wij het risico dat er vrijkomt wanneer data van Surelock in de verkeerde handen terecht komt. Daarom gaan wij ten alle tijden discreet om met de data en zijn de gevonden kwetsbaarheden uitsluitend beschikbaar voor de operationeel verantwoordelijke.

Conclusie

Weet je nog niet waar je moet beginnen met het in kaart brengen van de technische risico’s of wil je een echte cyberaanval simuleren? Dan is een black box pentest de beste optie. Heb je inzicht in wat je wilt gaan testen dan volstaan een ander soort pentest beter.

Plan een adviesgesprek over pentesten

Neem contact met ons op

Wij helpen je graag verder.

1
Vul je gegevens in op het aanvraagformulier
2
Wij nemen binnen 24 uur contact met je op
3
Kennismaking met Surelock
4
Je ontvangt een gratis plan op maat
5
Aan de slag!

Dim Gerssen

We zijn van maandag t/m vrijdag bereikbaar van 8:00 tot 18:00.

0348 796 146