Een pentest: wat is het en wat zijn de voordelen?

Een pentest (ook gekend als een penetratietest) is een gesimuleerde cyberaanval tegen een computersysteem om exploiteerbare kwetsbaarheden te vinden. Specifiek voor web application security betekent dit het testen van een web application. 

Pentesting kan gaan om elke soort poging om in te breken in een systeem. De bedoeling van pentesten is het ontdekken van kwetsbaarheden zoals niet-opgeschoonde inputs die gevoelig zijn voor aanvallen met code-injectie of misconfiguraties waardoor een gebruiker meer kan zien dan ze mogen.

Bij penetratietesten testen we zeer grondig. We testen alle websites, apps en netwerken om alle mogelijke risico’s te kunnen uitsluiten. Je kan het gerust cyber security van A tot Z noemen. Als je je bezig houdt met het verwerken van belangrijke informatie, neem je best maatregelen om deze gevoelige gegevens te beschermen. Maar zelfs al je bepaalde maatregelen neemt, vraag je vaak nog af of alles wel veilig genoeg is. Met de penetratietest ben je hackers telkens een stap voor. Je kan testen of je beveiliging van voldoende niveau is en of het werkt zoals verwacht. 

Ethical hackers gaan aan de slag om op een realistische wijze je systemen te onderzoeken. In feite doen ze een hacker met slechte bedoelingen na. Ze proberen net zoals een crimineel op alle mogelijke manieren toegang te krijgen tot je beveiligde gegevens. Zo leggen pentesters zwakke plekken en risico’s bloot in je applicaties, netwerken en systemen. Daardoor krijg je inzicht in de risico’s en kwetsbaarheden in de IT-omgeving van jouw organisatie. Daarna neem je gerichte maatregelen genomen om die risico’s te beperken en de beveiliging te verbeteren. Deze inzichten kunnen ook gebruikt worden om je web application firewall beleid te fine-tunen.

Hoe werkt een pentest?

De penetratietest kan opgedeeld worden in 8 verschillende fases.

Informatie verzamelen

Eerst verzamelen de pentesters algemene informatie over de in-scope doelen bij de organisatie die zich wil laten testen.

Planning, voorbereiding, en verkenning

Nadat alle informatie is verzameld, kunnen pentesters nog meer details van publieke bronnen verzamelen. De verkenningsfase is cruciaal om grondig de beveiliging te testen. Zo kunnen pentesters nog meer informatie verzamelen die over het hoofd gezien was. Dit gaat om data zoals, het netwerk, de domeinnamen, de mail server, IP adressen, firewalls). Zo kunnen pentesters de doelen en potentiële kwetsbaarheden beter begrijpen. Als het over persoonlijke gegevens gaat, dan kunnen namen, job titels en e-mail adressen een grote meerwaarde zijn voor hackers. Doordat hackers deze gegevens hebben, kunnen ze phishing e-mails gebruiken om uit te zoeken wie er bevoorrechte credentials heeft. Aan de hand daarvan kunnen hackers toegang krijgen tot een volledige omgeving.

Deze stap is vooral handig bij interne en externe netwerk testen. Maar bij web applicatie, mobiele applicatie of API pentesten is er meestal geen verkenningsfase.

Plannen is ook zeer belangrijk voor het succes van de penetratietest. Er zijn verschillende manieren om een pentest te benaderen. Je doelen bepalen en scoping zijn essentieel om het meeste uit dit proces te halen.

Ontdekking en scannen

Nu de scope is vastgesteld, kunnen de ethical hackers nu ontdekkings activiteiten uit voeren met de verzamelde informatie van de vorige fases. In deze fase proberen we te begrijpen hoe de applicatie zal reageren op verschillende inbraakpogingen. Dit kan gedaan worden door bepaalde analyses uit te voeren. Bij een statische analyse inspecteren pentesters de code van de applicatie terwijl het niet draait, om te zien hoe het zich gedraagt. Terwijl bij een dynamische analyse de code geïnspecteerd wordt terwijl de applicatie wel draait om zo real-time resultaten te krijgen.

In deze fase zoeken we naar zwakheden in de online omgeving, zonder effectief te testen. Deze fase wordt ook vaak ‘footprinting’ genoemd. Een automatische scan kunnen pentesters gebruiken om te zoeken naar zwakheden.

Penetratie poging en exploitatie

Nu kunnen de ethical hackers beginnen de zwakheden die ze vonden te testen. Ze zullen proberen om de omgeving binnen te raken door de vastgestelde toegangspunten. De pentesters proberen toegang te krijgen aan de hand van aanvallen zoals cross-site scripting, SQL injection of remote code execution. Ze proberen de zwakheden uit te buiten door privileges te escaleren, gegevens te stelen of verkeer te onderscheppen. Hierdoor kunnen ethical hackers beter begrijpen welke schade hackers zouden kunnen aanrichten. Éénmaal ze toegang hebben, zullen ze proberen om hun privileges te verhogen binnen de omgeving. Zo kunnen ze meer acties uitvoeren en nog meer beveiliging zwakheden vinden. Dit kan bijvoorbeeld gaan over slechte configuratie, onbeveiligde toegang tot gevoelige gegevens of ineffectief beheer van accounts.

Het doel van deze fase is om te zien hoe lang men aanwezig kan blijven in het uitgebuitte systeem. Hoe langer men aanwezig kan blijven in het systeem, des te meer gevoelige data hackers kunnen stelen.

Ook andere soorten middelen kunnen getest worden. Bovenop on-premise netwerk infrastructuur en werkplekken, kunnen pentesters ook mobiele toestellen, web applicaties of zelf IoT (Internet of Things) toestellen testen .

Analyses, rapporteren en een review

Tijdens de andere fases houden pentesters nauwkeurig alles bij.
De resultaten van de penetratietest worden samengevat in een rapport met de volgende informatie:

• De scope
• De specifieke zwakheden die werden uitgebuit, hoe we ze gevonden hebben en hoe we ze hebben uitgebuit
• De gevoelige data die werd bekeken
• Hoelang de ethical hacker ongedetecteerd in het systeem aanwezig kon blijven
• De volgende stappen na de test
• Herstelmethoden

Opschonen en sanering

Net zoals bij een echte aanval kunnen ook ethical hackers een voetafdruk achterlaten. Het is belangrijk om terug te gaan door de systemen en op te kuisen. Aangezien restanten van de pentest zouden kunnen gebruikt worden door hackers.

Éénmaal het opkuisen gedaan is, kan de organisatie die de pentest aanvroeg de volgende stappen zetten. Dit betekent zwakheden oplossen, compenserende controles uitvoeren of zelfs investeren in nieuwe oplossingen om je beveiliging te verbeteren.

Opnieuw testen

Natuurlijk kan je altijd opnieuw een pentest laten uitvoeren. Vooral als er nieuwe applicaties of infrastructuur wordt gebruikt is dit geen slecht idee. Zelfs als je denkt dat alle zwakheden zijn opgelost, kan je jezelf toch gerust stellen. Zo kan je zien of alle zwakheden zijn opgelost en alle saneringen goed gewerkt hebben. Ook is er natuurlijk het feit dat aanvallen van hackers alleen maar toenemen en verbeteren. Er zullen dus altijd nieuwe zwakheden boven water komen. Pentesten zijn een essentieel deel van een risicobeoordeling strategie. Hierdoor verklein je als organisatie je kans op een schadelijke inbreuk en reputatie verlies.

De voordelen van penetratietesten

Regelmatig deze testen ondergaan is belangrijk voor je algemene beveiligings houding. Het is een belangrijke praktijk die je organisatie inzicht geeft in de bedreigingen voor jouw beveiliging. Pentesten laten je toe om gaten te vinden in je beveiliging voor een hackers deze vindt.

In een wereld waarin hackers steeds sluwer worden, biedt dit alleen maar voordelen.
Zo zorgen ze ervoor dat je gemoedsrust hebt, omdat je weet dat je organisatie beschermd is. Ook zorgt een pentest ervoor dat een complete lockdown of een downtime door cryptolockers niet nodig is. Door een pentest kan je ravage binnen je organisatie vermijden omdat je hackers een flinke stap voor blijft. Op die manier kan je op een continue manier blijven werken en hogere kosten vermijden.

Ontdek zwakheden

Door pentesten kan je zwakheden in je systeem of de configuratie van je applicatie en netwerk infrastructuur ontdekken. Je kan zelfs acties en gewoonten van werknemers die zouden kunnen leiden tot data inbreuken ontdekken. Door het rapport kom je te weten hoe je de zwakheden kan verbeteren.

Toon de echte risico’s

Doordat een ethische hacker de test uitgevoerd, kan de organisatie zien wat er zou gebeuren in ‘de echte wereld’. Alleen een specialist kan zeggen welke gevoelige data toegankelijk is en welke systemen aangetast kunnen worden.

Test je beveiliging

Als je beveiliging goed werkt, zou je aanvallen moeten kunnen detecteren en er gepast en op tijd op kunnen reageren. Het rapport van de pentest zal je vertellen welke stappen je kan nemen om je beveiliging te verbeteren. 

Krijg de mening van een derde partij

Als een probleem wordt opgebracht door een werknemer, wordt dit soms niet altijd geloofd of wordt er niet op gereageerd. Een rapport van een derde partij heeft meestal meer impact op het management van een organisatie.

Volg regulaties en certificaten

Je industrie en wettelijke naleving vereisten kunnen een bepaald niveau pentest vereisen. Dit gaat bijvoorbeeld over ISO 27001 of PCI regulaties.

Hou het vertrouwen

Een cyberaanval of data breuk kan een negatief effect hebben op de zelfzekerheid en het vertrouwen van klanten, leveranciers en partners. Maar als je organisatie eenmaal gekend is voor zijn beveiligingsstandaarden met regelmatige pentesten dan kan je je stakeholders gerust stellen.

Verschillende penetratie test methodes

Eerst en vooral willen we er nog eens op wijzen dat penetratietesten iets regelmatig zou moeten zijn. Wij denken persoonlijk aan één keer een pentest per jaar. Een penetratietest kan gemiddeld één tot drie weken duren, afhankelijk van wat er bepaald is in de scope. En het kan ook gemiddeld ergens tussen de €3.000 en €100.000 kosten. Een kwaliteitsvolle pentest uitgevoerd door een professioneel team kan dus al snel iets kosten. Dit hangt vooral af van de scope, de grootte van je organisatie en de staat van je beveiliging.

Pentesten kunnen opgedeeld worden in verschillende categorieën en kunnen op basis daarvan anders genoemd worden. Dit kan bijvoorbeeld gaan over hoeveel informatie de ethische hackers beschikken. Wanneer ze over geen informatie beschikken, wordt dit een black box pentest genoemd. Als ze over een klein beetje informatie beschikken, wordt dit een grey box pentest genoemd. En als ze over alle informatie beschikken dan wordt dit een white box pentest genoemd.

Hieronder worden nog wat soorten opgesomd:

Externe pentesten

Een externe pentest heeft als doel om de middelen te testen die zichtbaar zijn op het internet. Zoals een web applicatie, een website, een email en de domain name servers (DNS). Het doel is om toegang te krijgen en hier waardevolle data uit te krijgen.

Interne pentesten

Bij interne pentesten wordt ervan uitgegaan dat de aanval wordt uitgevoerd door een werknemer met kwade bedoelingen. Maar dit kan bijvoorbeeld ook gaan om een scenario waarbij een werknemer zijn credentials gestolen zijn bij een phishing aanval.

Blinde pentesten

Bij blinde pentesten krijgen pentesters enkel de naam van de organisatie. Blinde pentesten zijn eigenlijk hetzelfde als een externe pentest. Dit geeft beveiligingspersoneel inzichten over hoe een echte aanval er zou aan toe gaan.

Dubbelblinde pentesten

In een dubbelblinde pentest krijgt het beveiligingspersoneel geen waarschuwing dat een pentest zal uitgevoerd worden. Zo krijgen ze net als bij een echte hacking poging geen optie om snel nog een verdediging op te werken.

Targeted pentesten

In dit scenario werken de ethical hackers en het beveiligingspersoneel samen. Dit is een waardevolle training voor het beveiligingsteam.

Soorten pentesten

Verder zijn er ook nog verschillende soorten middelen die getest kunnen worden zoals:

• Het bedrijfsnetwerk
• Webapplicaties
• Mobiele apps en API’s
• Industriële Automatisering en Controle Systemen (IACS) en Operationele Technologie (OT)
• Audits en beoordelingen voor DigiD, BIO, ISAE of ISO27001
• IoT (Internet of Things) en hardware

De BlueBlazer aanpak

Bij BlueBlazer hebben we onze eigen aanpak door ons professioneel team. Zodra we weten wat er speelt binnen jouw organisatie of waarover je je precies zorgen maakt, voeren we applicatie testen uit. Zo kunnen we precies inschatten waar jouw bedrijf nood aan heeft en hoe we jouw IT-systemen optimaal kunnen beschermen. Vervolgens maken we een offerte op maat. Zodra je het project goedkeurt, testen we alles uitvoerig. Via een gedetailleerd rapport vatten we samen op welke punten je goed scoort op het gebied van cyber security en waar er nog werk aan de winkel is. Hierbij houden we altijd rekening met de omvang van je budget.

Lees meer over onze security audits en pentesten of maak een afspraak!

Wil je meer weten over pentesten? Lees hier meer over via: https://www.kpn.com/zakelijk/blog/pentesten-dit-moet-je-weten.htm