Een pentest uitvoeren is een goede manier om meer informatie over de IT-risico’s van jouw organisatie te krijgen. Met een pentest krijg je inzicht op de informatiebeveiliging van jouw IT-systemen. In deze blog leggen we je uit wat je moet weten voordat je een pentest gaat uitvoeren. Er zijn namelijk verschillende soorten aanvalsmethodieken en omgevingen die je kan testen.
Plan een kennismakingsgesprek inEen pentest, voluit penetratietest genoemd. Is een geautoriseerde en gecontroleerde aanval op een systeem of netwerk om beveiligingskwetsbaarheden te ontdekken en beoordelen. Bij een pentest doen ethische (goede) hackers onderzoek naar de risico’s binnen jouw computersystemen, netwerken of webapplicaties. Op deze manier weet jij na het uitvoeren van een pentest waar de gaten binnen jouw omgeving zich bevinden en waar je prioriteiten liggen voor het verbeteren van de beveiliging.
De pentester legt dus tijdens het uitvoeren van de pentest de risico’s bloot binnen de afgesproken scope. Een goed voorbeeld hier van zijn het pentesten van de rollen en rechten binnen jouw omgeving. Bijvoorbeeld: ‘Kan je als normale gebruiker bij gegevens van andere klanten of zelfs admin worden?”. Nadat de pentest is uitgevoerd presenteren we de risico’s en geven we toelichting op waar de risico’s vandaan komen, uiteraard krijg je ook een rapport met daarin de resultaten. Waardoor jij vervolgens aan de slag kan met het oplossen van de risico’s.
Je kunt een pentest uitvoeren om meer inzicht te krijgen op de risico’s van de IT-systemen binnen jouw organisatie. Omdat een pentest wordt uitgevoerd door een ethische hacker (een hacker aan de goede kant) krijg je inzicht op de risico’s die normaliter door kwaadaardige hackers worden gevonden. Op deze manier heb je voorafgaand aan een daadwerkelijke aanval al inzicht op de kwetsbaarheden van jouw organisatie. Zo kan jij voordat je gehackt wordt de kwetsbaarheden oplossen en mogelijke schade voorkomen.
Tegenwoordig worden er vanuit de leveranciersketen strengere eisen gesteld over informatiebeveiliging en het verwerken van data. Denk bijvoorbeeld aan het verplichten van een ISO27001 certificering of een ISAE3402 verklaring. Lees meer over een ISO27001 pentest.
Om deze certificeringen te behalen of te voldoen aan de eisen vanuit de leveranciersketen is het uitvoeren van een pentest een handig hulpmiddel om inzicht te krijgen. Met het uitvoeren van een pentest toon je namelijk aan dat je actief bezig bent met het monitoren van je risico’s. Je weet dus wat er speelt binnen de IT-systemen van jouw organisatie.
De belangrijkste reden voor het uitvoeren van een pentest is het inzicht dat je krijgt. Door het pentest rapport kan je gemakkelijk zien waar de risico’s binnen jouw geteste omgeving zich bevinden. Je hebt dus inzicht zoals hackers dit hebben en kunt voordat er een aanval plaatsvindt al patches uitvoeren voor het verbeteren van de veiligheid. Voorkomen is tenslotte beter dan genezen in de wereld van cybersecurity.
Wanneer je in een bepaalde regelmaat je netwerk onder de loep neemt zorg je voor een beheersbare bedrijfscontinuïteit. Door het uitvoeren van een pentest blijf je namelijk op de hoogte van de huidige risico’s en voorkom je mogelijke schade aan je netwerk. Denk hierbij niet alleen aan de schade tijdens de downtime maar ook aan de imago schade.
Door het regelmatig uitvoeren van een pentest toon je aan dat je controle hebt over de IT-systemen binnen je organisatie. Ook voorkom je met een pentest dat je reputatie wordt beschadigd ingeval van een informatiebeveiligings-incident.
In de AVG wordt aanbevolen regelmatig testen op te nemen om applicaties en kritieke infrastructuur te beoordelen. Tevens is dit ook een van de vereisten voor het behalen van een ISO27001 certificering.
Na het uitvoeren van de pentest krijgt de organisatie een duidelijk rapport met daarin alle bevindingen. Het personeel binnen je IT-afdeling pakt deze bevindingen vervolgens op en gaat aan de slag met het oplossen van de kwetsbaarheden.
Op deze manier leer je de IT-afdeling om in het vervolg rekening te houden met cyberveiligheid mocht dit in eerste instantie niet gebeuren. Tevens laat je ze ook meekijken in de ogen van een hacker. Dit zorgt in de praktijk voor een hoge security awareness niveau.
Laten we beginnen bij het begin. Voordat een pentest kan worden uitgevoerd zijn er een aantal keuzes die vooraf gemaakt moeten worden voor het bepalen van de scope. Wat ga je bijvoorbeeld testen? Een IT-omgeving, (web) applicatie, systeem, server of netwerk.
Nadat er in kaart is gebracht wat er getest gaat worden wordt er een keus gemaakt in de aanvalsmethodiek. Welke aanvalsmethodiek ga je als pentest uitvoeren? Een white box pentest, grey box pentest of een black box pentest.
Nu er duidelijk is wat er getest gaat worden en welke methodiek er gebruikt gaat worden is het tijd om de pentest uit te voeren. We starten met een kick-off met de IT-afdeling, een kennismaking tussen de hackers van Surelock en de organisatie waarvoor de pentest wordt uitgevoerd.
Tijdens het uitvoeren van de pentest is er dagelijks contact over de bevindingen. Wordt er een grote kwetsbaarheid gevonden krijg je dit direct te horen. Na het pentesten krijg je een rapport met daarin alle informatie over de pentest die is uitgevoerd. Heb je vragen kun je altijd contact opnemen met de hackers van Surelock voor meer informatie.
De kosten van een penetratietest zijn variabel het hangt dus af van het aantal dagen dat je gaat pentesten en de aanvalsmethodiek die gebruikt wordt. Een goede pentest is mensenwerk en kost tijd. Een pentest start dus vanaf €3500,- en kan oplopen tot €20.000,- afhankelijk van de grootte van de pentest die wordt uitgevoerd.
Vragen? Bel gerust naar 0348 796 146
