Neem contact op

Pentest

Ontdek de kwetsbaarheden binnen jouw organisatie middels een penetratietest

Het aantal cyberaanvallen neemt toe. Dit blijkt ook uit het jaarlijkse datalekkenrapportage van de Autoriteit Persoonsgegevens (AP). In 2021 is het aantal meldingen van datalekken als gevolg van een cyberaanval 88% meer dan in 2020. Een cyberaanval is bijvoorbeeld brute-force, ransomware, malware of phishing aanval.

Zo’n aanval heeft vaak grote gevolgen. Maar hoe bescherm je jouw IT omgeving tegen deze dreigingen? Dit kan door de kwetsbaarheden in jouw bedrijfssystemen en netwerken in kaart te brengen en op basis van de resultaten (cyber security) maatregelen treffen. Dit kan door het laten uitvoeren van een pentest, ook wel penetratietest genoemd.

Een pentest is een gesimuleerde cyberaanval op, een component van, de IT omgeving van een organisatie. Tijdens een pentest wordt door ethische hackers gezocht naar kwetsbaarheden, die in werkelijkheid misbruikt worden om een omgeving binnen te dringen of anderszins te compromitteren.

Uitleg over de pentest

Een pentest? Hoe werkt dat?

Een pentest kan in verschillende vormen worden uitgevoerd (black box, grey box en white box pentest) en op verschillende componenten van een IT omgeving. Het object van onderzoek kan de IT infrastructuur zijn, maar ook een specifieke (web)applicatie. Deze wordt getest op kwetsbaarheden.

Een Cuccibu pentest bestaat uit de volgende stappen:

  1. Kick-off: we bepalen samen de scope van de pentest en maken met jullie een planning voor de uitvoering.
  2. Discovery & scan: we zoeken naar kwetsbaarheden in jullie systeem. Dit doen we geautomatiseerd en handmatig.
  3. Test & exploitatie: We halen de ‘false positives’ uit de resultaten en exploiteren de gevonden kwetsbaarheden om te kijken hoever we kunnen komen.
  4. Rapportage: We sommen de bevindingen op en geven hierbij een risicoscore en advies over mitigerende maatregelen.
  5. Eindbespreking: We leveren de rapportage op en plannen een eindbespreking met ruimte om vragen te stellen.

Bij de pentest kijken onze professionals zowel naar de mogelijkheden voor aanvallen van buitenaf, als naar insider threats (interne pentest). Meer lezen over dit fenomeen? Dat kan hier!

Pentest door Cuccibu

Wanneer moet mijn organisatie een pentest uitvoeren?

Wij bevelen aan dat iedere organisatie minimaal een keer per jaar een pentest uitvoert. Hiermee wordt inzicht in de status van de huidige beveiliging van de omgeving behouden en het stelt in staat om de beveiliging up-to-date te houden. Het up-to-date houden van de beveiliging is van belang, omdat er vaak nieuwe kwetsbaarheden worden ontwikkeld en misbruikt. Daarnaast is een pentest een middel om vast te stellen of ingevoerde beveiligingsmaatregelen effectief zijn.

Hoe kunnen wij helpen?

Laat ons de kwetsbaarheden binnen jouw organisatie ontdekken, voor een hacker dat doet. Het pentest team van Cuccibu bestaat uit betrouwbare en ervaren professionals. Zij zijn in staat de wensen van jouw organisatie in kaart te brengen en jullie op de juiste manier te helpen.

Onze aanpak en techniek
Onze aanpak is gebaseerd op een in de praktijk bewezen effectieve methode om kwetsbaarheden te identificeren en op een adequate manier te adresseren. Daarnaast bestaat er verschil tussen de mate van kennis waarover de pentesters beschikken alvorens te starten met de test. Dit zogenaamde verschil tussen black, grey en white box Pentesting, is respectievelijk het verschil tussen geen kennis van de te hacken omgeving, tot en met volledige voorkennis van de te hacken omgeving.

Voor het uitvoeren van de pentest wordt gebruik gemaakt van standaardtechnieken en tooling. Daarnaast is het testen van bekende kwetsbaarheden, zoals de OWASP top 10, onderdeel van een pentest.

Het resultaat
Het eindproduct van een pentest zoals Cuccibu die uitvoert is een adviesrapport met daarin de bevindingen uit het onderzoek. Elke bevinding wordt vertaald naar een concreet bedrijfsrisico met daarbij advies over hoe dit risico het beste te mitigeren is. Op deze manier kan de organisatie meteen met de juiste prioritering aan de slag met de verbeteringen!

Alternatieve opties
Ben je niet geïnteresseerd in hoever een ethische hacker kan komen maar wel in welke kwetsbaarheden te vinden zijn in je organisatie? Dan past een Vulnerability Assessment misschien beter!

Twijfel je over het nut van een pentest door Cuccibu? Laat ons bewijzen dat het waarde heeft met onze Proof of Value dienst.

Contact

Meest gestelde vragen

We zetten de meest gestelde vragen over pentesten voor je op een rijtje.

Er zijn drie typen pentesten die uitgevoerd kunnen worden, namelijk black box pentest, grey box pentest en whitebox pentest. Het verschil is de mate van kennis die de ethische hacker heeft over de systemen en applicaties voordat hij/zij aan de slag gaat.

  • Black box pentest: de pentester heeft geen voorkennis van en toegang tot de systemen en applicaties.
  • Grey box pentest: de pentester dringt het systeem binnen, zowel met als zonder voorkennis van en vooraf aangeleverde toegang tot de systemen en applicaties.
  • White box pentest: de pentester krijgt vooraf alle informatie en volledige toegang tot de systemen en applicaties.

Het laten uitvoeren van een pentest, ook wel penetratietest, is van toegevoegde waarde omdat:

  • Het versterkt de beveiliging van het netwerk en de gegevens van jouw organisatie.
  • Het is een sterk middel om vast te stellen of reeds ingevoerde beveiligingsmaatregelen effectief zijn én blijven.
  • Het toont aan dat jouw organisatie Cyber Security hoog op de agenda heeft staan, wat vertrouwen geeft aan stakeholders.
  • Met een pentest bouw je aan de toekomstbestendigheid van jouw organisatie.
  • Het draagt bij aan naleving van wet- en regelgeving.

Bij een pentest wordt daadwerkelijk getracht de kwetsbaarheden te misbruiken om bij de volledige organisatie te kunnen inbreken. Er wordt gehackt. Bij een Vulnerability Assessment worden de kwetsbaarheden geïdentificeerd en geverifieerd. Ofwel, de kwetsbaarheden worden blootgelegd, maar niet misbruikt.

Tijdens een digitale pentest proberen onze ethische hackers de IT omgeving van jouw organisatie binnen te dringen. Ze onderzoeken de kwetsbaarheiden in jouw systemen en (web)applicaties. Dit doen zij vanachter hun eigen laptop. Het is ook mogelijk om een fysieke pentest te laten uitvoeren. Daarbij gaat onze pentester naar jouw locatie en proberen ze het terrein, gebouw, afdeling of specifiek proces van de organisatie binnen te dringen. De fysieke (informatie)beveiliging van jouw organisatie wordt op de proef gesteld. Eenmaal binnen kijken onze hackers hoever ze kunnen gaan: kunnen ze in ruimtes komen die niet voor onbevoegden zijn? Liggen er vertrouwelijke documenten rond te slingeren? Kunnen ze gemakkelijk in een systeem komen? Een fysieke pentest is ook wel bekend onder de term mystery guest. Heb je interesse in zowel een digitale als fysieke pentest dan is onze dienst red teaming iets voor jou!

Hoeveel tijd er nodig is om een pentest uit te voeren is afhankelijk van diverse factoren, zoals de IT omgeving en de aanvalsscenario’s die getest moeten worden. Gemiddeld gezien hebben onze cyber security professionals voor het uitvoeren van de pentest één week nodig. Het volledige proces, van kick-off tot rapport, duurt vier tot zes weken. Uiteraard afhankelijk van de situatie. De kosten voor een pentest zijn ook afhankelijk van de situatie en wensen van jouw organisatie. Meer weten over de tijd en kosten van het uitvoeren van een pentest door Cuccibu? Vraag een vrijblijvend adviesgesprek aan en we vertellen je graag alles over de mogelijkheden voor jouw organisatie.

Relevante downloads