Een penetratietest is een test waarbij één of meerdere netwerken, (web) applicaties, API’s & mobiele Apps of hardware apparaten worden getest op kwetsbaarheden. Het doel hiervan is het nabootsen van een aanval van een echte hacker om het niveau van de informatiebeveiliging te verhogen. Dit artikel is voor het laatste bijgewerkt op 01-08-2023.
Door het uitvoeren van een penetratietest krijg je direct inzicht op de kwetsbaarheden binnen jouw organisatie. Zo’n pentest bootst namelijk een aanval van een kwaadaardige hacker na, waardoor je jouw organisatie vanuit het perspectief van een hacker kunt bekijken.
Bij Surelock zijn de hackers OSCP-gecertificeerd en bezitten ze de laatste technieken uit de branche. Bovendien is Surelock ook lid van Cyberveilig Nederland, dé belangenorganisatie voor een optimaal ondernemingsklimaat voor cybersecuritybedrijven.
Het uitvoeren van een penetratietest is en blijft in alle gevallen mensenwerk. Er wordt namelijk een fictieve hacker ingezet om jouw organisatie grondig te onderzoeken, op dezelfde manier als een daadwerkelijke hacker zou doen. De kwaliteit van de hacker hangt dus nauw samen met de vaardigheden van de ethische hackers. Bij Surelock bieden we onze ethische hackers de mogelijkheid om voortdurend te blijven groeien, zowel in het werkveld als in testomgevingen zoals Hack The Box. Op deze manier blijven onze ethische hackers op de hoogte van de laatste trends in cybercrime-wereld anno 2023.
Binnen penetratietesten zijn er drie verschillende methodieken: black box pentest, grey box pentest en een white box pentest. Elke methodiek hanteert een unieke aanvalsmethodiek. Bijvoorbeeld, val je de organisatie aan met vooraf versterkt informatie, of geef je de hacker helemaal geen informatie voorafgaand aan de test. Door een specifieke methodiek te kiezen, zorg je ervoor dat de scope van de penetratietest zeer scherp is en dat je scenario’s test die daadwerkelijk kunnen plaatsvinden.
Om een penetratietest uit te voeren is er altijd toestemming nodig vanuit de eigenaar van de te testen omgeving. We krijgen vaak de vraag om bepaalde SaaS-applicaties te testen. Helaas kunnen we hier niet op ingaan, omdat het niet alleen computervredebreuk zou zijn, maar ook verspilling van het budget voor de pentest. Het is namelijk niet onze omgeving die we testen, maar die van een andere organisatie, en dus ligt de verantwoordelijkheid elders.
In België is het sinds 15 februari 2023 echter wel toegestaan om ethisch te hacken zonder toestemming. Dergelijke hacks worden uitgevoerd door een grey hat hacker. Let wel op dat deze wetgeving alleen geldt voor Belgische bedrijven en nog niet voor de grote SaaS-applicaties die waarschijnlijk binnen jouw organisatie worden gebruikt. In Nederland blijven we voorlopig werken met vrijwaringsverklaringen, omdat er verschillende meningen zijn over deze wetgeving.
Een penetratietest speelt een cruciale rol binnen het kader van compliance en regelgeving. Talloze bedrijven en organisaties hebben de wettelijke verplichtingen en specifieke veiligheidsnormen en maatregelen te implementeren om persoonsgegevens te beschermen. Penetratietesten kunnen op effectieve wijze bijdragen aan dit doel, omdat ze helpen bij het opsporen en verhelpen van kwetsbare plekken in de beveiliging, nog voordat ze leiden tot schade voor de organisatie.
Daarnaast kunnen penetratietesten ook nuttig zijn om bij aantoning van naleving van de wet- en regelgeving. Een succesvolle penetratietest kan aantonen dat de beveiliging van de systemen voldoet aan de vereisten van de specifieke wetten en normen. Dit kan voor groot belang zijn tijdens audits en controles en dit draagt bij aan een verbeterde imago van het bedrijf. Het is daarom essentieel om ervoor te zorgen dat penetratietesten niet alleen worden uitgevoerd om aan de wettelijke eisen te voldoen, maar ook om de beveiliging van systemen voortdurend te verbeteren en te monitoren.
De duur van een test hangt af van de vooraf bepaalde scope, die in samenwerking met de white hat hackers van Surelock wordt vastgesteld. Je begint met het in kaart brengen van wat wil je wilt testen, waarom ga je dit wilt testen, en welke risico’s binnen deze omgeving zijn.
Vervolgens wordt er een plan van aanpak opgesteld dat specifiek is afgestemd op jouw organisatie, aangezien geen enkele organisatie hetzelfde is. Gemiddeld genomen duurt een penetratietest 3 tot 8 dagen. Deze indicatie is afhankelijk van de vooraf bepaalde scope.
Hieronder geven we je kort weer hoe jij je organisatie kan voorbereiden op de uitvoer van de penetratietest. De tips zijn niet specifiek voor één organisatie, aangezien elke organisatie zijn eigen persoonlijke behoefte heeft.
Penetratietesten brengen kosten met zich mee, die afhankelijk zijn van de diverse factoren, zoals de omvang (scope) en complexiteit van de testen systemen, de benodigde expertise en de duur van de test.
Het is van cruciaal belang om een realistische budget vast te stellen voor een penetratietest en rekening te houden met eventuele onvoorziene kosten, bijvoorbeeld voor het hertesten van bevindingen die voorkomen uit de penetratietest. Bij Surelock gaan we voorafgaande aan de uitvoering van de pentest het gesprek aan om de scope te bepalen. Hierdoor kunnen wij jouw kosten minimaliseren en tijd besparen, omdat we alleen testen wat daadwerkelijk nodig is. Benieuwd naar hoe wij dit aanpakken? Bel dan naar 0348 – 796 146 binnen 5 minuten heb je een security specialist aan de lijn.
Vragen? Bel gerust naar 0348 796 146
