Wil jij weten hoe veilig de IT-infrastructuur van jouw bedrijf is? Dan is het verstandig om een pentest uit te laten voeren. Op die manier verklein je de kans op cyberdreigingen, datalekken en ransomware-aanvallen. Wat is een pentest precies? Welke soorten zijn er? En hoe wordt een pentest uitgevoerd? Boost IT Solutions vertelt je er graag meer over.
Wat is een pentest?
Pentest is een afkorting voor het woord ‘penetration testing’. Wanneer je een pentest laat uitvoeren onderzoekt een legale hacker jouw systemen. Hij kruipt dan eigenlijk in de huid van een kwaadwillende hacker. Hiermee probeert hij op iedere mogelijke manier toegang te krijgen tot jouw persoonlijke gegevens. Uiteraard vindt een pentest altijd plaats in opdracht en met toestemming van de eigenaar van het systeem. Er wordt ook altijd een scope afgesproken zodat er doelgericht gewerkt kan worden.
Door een pentest uit te laten voeren worden de zwakke plekken en risico’s in jouw netwerken en systemen zichtbaar. Na afloop van de pentest worden de bevindingen in een rapportage met de opdrachtgever gedeeld. Vervolgens kunnen er gerichte maatregelen worden getroffen om de risico’s te beperken en de beveiliging van jouw IT-omgeving naar een hoger niveau te tillen. Hiermee kan Boost IT Solutions jouw bedrijf uiteraard helpen.
Omdat een pentest een momentopname is en omgevingen regelmatig veranderen raden we je aan om periodiek een pentest uit te laten voeren.
Welke soorten pentesten bestaan er?
Er kunnen verschillende soorten pentesten worden uitgevoerd. Welke methode er gebruikt gaat worden wordt vooraf met de opdrachtgever afgesproken. We nemen de verschillende soorten hieronder met je door.
Vulnerability assessment
Dit is het proces van identificeren, kwantificeren en prioriteren van de kwetsbaarheden in een bepaald systeem. In de meeste gevallen verloopt dit proces volledig geautomatiseerd. Met vulnerability assessment is het mogelijk om bekende veiligheidsfouten in IT-systemen op te sporen. De scan test overigens niet of de opgespoorde kwetsbaarheden ook daadwerkelijk uitgebuit kunnen worden om toegang tot gevoelige informatie te krijgen. Je kunt vulnerability dus eigenlijk zien als een lightversie van een pentest. Bij een volledige pentest worden de kwetsbaarheden zowel automatisch als handmatig opgespoord.
Black box pentest
Wanneer er een black box pentest wordt uitgevoerd krijgt de ethical hacker vooraf geen informatie over de aanwezige IT-infrastructuur. Hij gaat dan een inbraakpoging doen in de IT-omgeving alsof hij een niet-geïnformeerde hacker is. Deze test wordt vaak uitgevoerd wanneer het bedrijf nog nooit eerder een pentest heeft laten uitvoeren. Je krijgt hiermee een algemeen beeld van het IT-veiligheidsbeeld.
Grey box pentest
De grey box pentest gaat iets verder dan de black box pentest. De hacker krijgt in dit geval namelijk beperkte toegang tot de IT-omgeving. Dit wil zeggen dat hij bijvoorbeeld een klantenaccount of medewerkersaccount krijgt om in te werken. Met een grey box pentest kun je de kans op een hacking achterhalen, maar het is ook mogelijk om na te gaan hoe veilig een omgeving is vanuit het perspectief van de medewerker of een klant.
White box pentest
Tot slot kennen we de white box pentest. Dit is de meest grondige pentest. De ethical hacker krijgt vooraf informatie over het netwerk en de infrastructuur van het bedrijf. Er wordt uiteraard een scope afgesproken zodat er zo gericht mogelijk te werk kan worden gegaan.
Zo gaat een pentest in zijn werk
Voordat de pentest van start gaat wordt er altijd een scope afgesproken met de opdrachtgever. We bepalen het doel van het onderzoek en stellen vast welke testmethode we gaan gebruiken. Verder kijken we naar het tijdsbestek waarin de pentest plaatsvindt en wat het beschikbare budget van de opdrachtgever is. Wanneer dit allemaal vastgesteld is kan de pentest van start gaan. Dit gebeurt in drie verschillende fases.
- De verkenningsfase. In de verkenningsfase gaat de ethische hacker de potentiële toegangsdeuren in kaart brengen. Hij verzamelt hiervoor informatie uit de beschikbare bronnen.
- De aanval. Na de verkenningsfase is het tijd om daadwerkelijk applicaties, netwerken of systemen aan te vallen. De ethische hacker probeert middels de toegangsdeuren de kwetsbaarheden te vinden om zo jouw systeem binnen te dringen en gevoelige gegevens te stelen.
- Rapportage. Tijdens de pentest noteren de hackers al hun bevindingen. Dit resulteert in een helder rapport. In dit rapport vind je belangrijke conclusies en aanbevelingen waarmee de beveiliging van jouw bedrijf kan worden verbeterd. Vervolgens kunnen de aanbevelingen vertaald worden in concrete acties. Hier kan Boost IT Solutions uiteraard bij helpen. Neem hiervoor gerust contact met ons op.
Checken hoe jouw website ervoor staat?
Met de security scans (pentesten) van Boost IT Solutions krijg jij inzichten in de kwetsbaarheden van jouw IT-omgeving. Voer een eenmalige pentest uit om te weten waar je staat of nog beter, voer maandelijkse scans uit om continue goed beveiligd te zijn. Vanuit de rapportage met bevindingen kan er een plan opgesteld worden om deze punten op te (laten) lossen.
Wil jij graag meer weten over het laten uitvoeren van een pentest? Of wil je een pentest laten uitvoeren voor jouw bedrijf? Dan ben je bij Boost IT Solutions aan het juiste adres. Neem gerust vrijblijvend contact met ons op om de mogelijkheden te bespreken.
Meer over Wesley
Met ruim 20 jaar in de IT, heb ik de nodige kennis opgedaan, waardoor ik van grote toegevoegde waarde ben voor organisaties die hun IT omgeving naar een hoger niveau willen tillen.
Technisch geweten
Mijn passie voor de IT komt tot zijn recht als ik organisaties kan adviseren hoe een IT-omgeving verbeterd en veiliger gemaakt kan worden. Ik word dan ook regelmatig het technisch geweten genoemd door mijn opdrachtgevers.
Communicatief vaardig
Mijn kracht ligt o.a. bij het goed kunnen inschatten van de risico’s en impact. Door niet teveel te verzanden in technische details, ben ik een goede gesprekspartner voor diverse stakeholders.
Gadget-freak
Als echte IT fanaat ben ik altijd op de hoogte van de laatste ‘ins and outs’. Een eigenschap / interesse die wat mij betreft onmisbaar is in de IT.
Benieuwd hoe we jouw it naar een hoger niveau kunnen tillen?
In een vrijblijvend gesprek kijk ik graag samen met jou waar de kansen liggen.