Penetratietest

Inzicht in uw technische kwetsbaarheden

Met onze penetratietesten krijgt u inzicht in de kwetsbaarheden die aanwezig zijn in de beveiliging van uw systemen en infrastructuur. Penetratietesten worden ook wel kwetsbaarheidsanalyse genoemd of afgekort tot ‘pentest’.

Aanpak en rapportage

In onze gestandaardiseerde aanpak maken wij gebruik van verschillende gespecialiseerde tools en een heldere fasering. Kwaliteit staat hierbij voorop. De resultaten van onze penetratietest worden opgeleverd in een helder rapport met duidelijke management samenvatting, een risico inschatting per bevinding en aanbevelingen om deze op te lossen.

Wij maken onderscheid in compliance-gebaseerde pentesten en doelgerichte penetratietesten:

Compliance-gebaseerde pentesten

De compliance-gebaseerde pentesten worden het meest gekozen om aan te tonen dat een (web)applicatie, mobiele app of infrastructuur voldoet aan een set beveiligingsrichtlijnen. Voor de meeste webapplicaties wordt een greybox pentest uitgevoerd op basis van de OWASP Top-10 of het DigiD-normenkader. Bij deze pentesten is het doel om zo veel mogelijk kwetsbaarheden te identificeren binnen de beschikbare tijd.

Wij bieden deze pentesten aan met drie niveaus van diepgang:

White box pentest

Bij onze white box pentest beschikken onze ethische hackers over alle relevante informatie tijdens het beveiligingsonderzoek, waaronder broncode, configuratiebestanden en technische documentatie. Deze test wordt ook wel een crystal box pentest genoemd vanwege de transparantie naar de pentesters. Met deze aanpak is het mogelijk om gericht te zoeken naar kwetsbaarheden, De gekozen beveiligingsmaatregelen worden tijdens deze test diepgaand onderzocht op zowel technische als logische kwetsbaarheden. Tijdens het onderzoek wordt inzichtelijk of voor beveiligingsproblemen adequate oplossingen zijn gekozen, of dat deze zijn opgelost met een snelle ‘fix’ met mogelijke risico’s in de toekomst.

Grey box pentest

Bij een greybox pentest hebben onze specialisten de beschikking over inloggegevens voor uw (web)applicatie of infrastructuur. Zij onderzoeken hiermee op gestructureerde wijze welke kwetsbaarheden in de oplossing aanwezig zijn. Hiermee onderzoeken wij op welke wijze een geautoriseerde gebruiker (onbedoeld) misbruik kan maken van uw systemen. Afhankelijk van uw behoefte baseren wij ons op de OWASP Top-10 of het DigiD-normenkader.

Black box pentest

Bij een blackbox pentest beschikken onze pentesters over minimale informatie tijdens de test. Deze test is vergelijkbaar met een aanval die door een aanvaller zonder inloggegevens wordt uitgevoerd. Tijdens een black box pentest ligt de nadruk op het verkrijgen van toegang tot afgeschermde informatie en functionaliteit, bijvoorbeeld door het omzeilen van het inl0g-mechanisme.

Doelgerichte penetratietest

Bij een doelgerichte penetratietest is het doel om aan te tonen hoe ver een aanvaller kan komen, door een of meerdere kwetsbaarheden in de oplossing te exploiteren. Tijdens deze penetratietest worden niet alle kwetsbaarheden in kaart gebracht, maar wordt juist gericht gezocht naar manieren om binnen te dringen en rechten te verhogen. Meestal is de ambitie om toegang krijgen tot een database met vertrouwelijke gegevens of het overnemen van de controle over een systeem of domein.

Benieuwd naar hoe wij u kunnen ondersteunen? Onze experts staan voor u klaar Maak nu een afspraak