Pentesting
RiskGuard verricht penetratietesten om te controleren of uw computersystemen en applicaties kwetsbaar zijn. We gebruiken dezelfde technieken als een hacker om ernaar te zoeken, om zo inzicht te krijgen in de beveiligingsgaten van uw organisatie.
Deze tests worden ook wel pentesting, pentest, netwerk penetration testing of security testing genoemd.
Door niet alleen kwetsbaarheden in kaart te brengen maar ook door er actief proberen gebruik van te maken binnen de gestelde scope & voorwaarden kunnen wij een beter en duidelijker beeld bieden in tegenstelling tot een vurnerability assessment die vaak als pentest wordt neergezet.
Een pentest bestaat uit:
- Inventarisatie & kennismaking
- Scope & afbakening — hier stemmen we samen met u af welke onderdelen er wanneer getest worden en welke onderdelen niet meegenomen worden. Zo kunt u en uw organisatie er rekening mee houden als er alerts komen,
- Onderzoeksvragen — samen definiëren we één of meerdere onderzoeksvragen,
- Assessment — binnen de gestelde scope doen we een scan van alle kwetsbaarheden die worden waargenomen en deze worden geclassificeerd en gedocumenteerd,
- Exploitatie — afhankelijk van het soort pentest proberen we aan de hand van bovenstaande kwetsbaarheden actief in te breken, ook deze bevindingen worden geclassificeerd en gedocumenteerd,
- Rapportage & presentatie — samen met de stakeholders binnen uw organisatie presenteren wij de opgestelde gedetailleerde rapportage en nemen we deze samen door zodat we vragen en opmerkingen direct kunnen beantwoorden.
Bij alle bovenstaande rapportages wordt er gebruik gemaakt van het CVSSv3 (Common Vurnerability Scoring System), wat een breedgedragen industriestandaard is om kwetsbaarheden te classificeren op impact.
In het overzicht van deze kwetsbaarheden dragen wij ook meteen een mogelijke oplossing aan voor de kwetsbaarheid zodat deze rapportage een compleet beeld geeft, niet alleen van de problemen maar ook van mogelijke oplossingen.
Soorten pentesten
Er zijn verschillende soorten pentesten:
- White box — hierbij hebben onze onderzoekers volledige toegang en kennis van het te-testen systeem, hiermee kan bijvoorbeeld een interne aanval gesimuleerd worden,
- Black box — het tegenovergestelde van een white box, hierbij hebben onze onderzoekers vrijwel geen enkele informatie en hiermee kan een aanval van buitenaf worden gesimuleerd,
- Gray box — een mix tussen een white & black box zoals de naam aangeeft, hier hebben onze onderzoekers beperkte informatie.
- Crystal box — deze methode wordt ook vaak code review genoemd, hierbij krijgen onze onderzoekers de beschikking over broncode, software of zelfs procedures om te analyseren
- Time box — hierbij varieert het niveau van informatie wat vooraf bekend is maar wordt de test beperkt door een vastgesteld tijdsframe of zelfs budget.
RiskGuard is een expert en heeft uitgebreide ervaring op het gebied van penetratietesten. Bedrijven komen vaak niet aan de vereiste expertise en/of tijd voor het uitvoeren van zo’n test, daarom wordt dit vaak uitbesteed. RiskGuard is daarom een perfecte partner voor dit soort taken!