Penetration tests

Penetration tests, ook wel pentests genoemd, zijn ‘legale’ of 'ethische hacker' aanvallen op een netwerk, website, internettoegang of computersysteem om inzicht te krijgen in de beveiligingsrisico’s en kwetsbaarheden.

De Hack tests die BSM voor u verricht, worden op drie manieren uitgevoerd:

1. White box testing:
2. Gray box testing:
3. Black box testing:

Het onderscheid zit in de hoeveelheid kennis en achtergrondinformatie die de tester krijgt. Heeft de tester van tevoren inzicht in alle aspecten van de systeemarchitectuur? Dan spreekt men van white box hacking. Beschikt een tester over gedeeltelijke informatie? Dan heet dit Grey box en van Blackbox wordt gesproken als de tester minimale voorkennis heeft.

Welke test is voor u van toepassing?

Website scan

Een website scan is van toepassing wanneer u een eenvoudige website zonder interactieve inhoud en privacy gevoelige database heeft. De websitescan geeft inzicht in de beveiliging van uw web omgeving en biedt een gedegen bescherming tegen defacement en cross-site scripting. De scan wordt volledig geautomatiseerd uitgevoerd.

Pentest op server en netwerk

Bij een pentest op server en netwerk testen wij de beveiliging van servers en componenten van buiten af. U krijgt zo inzicht in kwetsbaarheden of beveiligingslekken binnen uw netwerk. Wij scannen de veiligheid van één of meer servers of een netwerk segment via het internet óf bij u op locatie. Ook de route tot de server en andere netwerk onderdelen kunnen we in overleg meenemen in de scan.

Pentest op applicaties

Wij adviseren u om een pentest op applicaties te laten uitvoeren wanneer binnen uw organisatie gebruik gemaakt wordt van maatwerk software, welke niet periodiek door uw softwareleverancier op beveiliging wordt gecontroleerd. Bij deze test spitsen wij ons toe op uw specifieke applicaties, zoals de databases, content management systemen en maatwerk software. Wij gebruiken hiervoor specialistische software om broncodes te scannen.

Actieve controle en pentest

Een actieve controle en pentest raden wij aan wanneer kritische informatie op het systeem aanwezig is, zoals financiële, privacy gevoelige of creditcardgegevens. U bent in zo’n geval verplicht aan te tonen dat u alles gedaan heeft om de gegevens te beveiligen om zo eventuele imagoschade en schadeclaims te voorkomen en de privacy van uw medewerkers, klanten, leveranciers en relaties garanderen.
Bij deze scan kruipen wij in de huid van een hacker en proberen we op diverse manieren uw systeem binnen te dringen. Het gaat dan bijvoorbeeld om het uitbuiten van menselijke zwaktes ('social engineering') en diepteaanvallen met tools zoals het 'metasploit framework' (een platform van ICT-beveiligers).

Het resultaat van de penetration test ontvangt u in de vorm van een heldere en bruikbare rapportage, waarmee u uw leverancier of ICT beheerder aan het werk kan zetten. Ook kan BSM in een vervolg traject de te nemen stappen uitzetten en/ of de uitrol voor haar rekening nemen.

Wanneer pentesten?

Er kunnen meerdere momenten zijn waarop een pentest zinvol is:

1. In de acceptatiefase van een nieuw systeem of een nieuwe applicatie.
2. Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie.
3. Periodiek (jaarlijks/tweejaarlijks), om bestaande systemen te testen op nieuwe inbraaktechnieken
4. Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht.
Neem voor meer informatie over penetration tests contact met ons op.