Pentest

Je vermoedt dat je het qua beveiliging goed voor elkaar hebt, maar zeker weten doe je het niet. Al helemaal niet door die verhalen van hacks en datalekken de laatste jaren. Tijd om aan die onzekerheid een einde te maken en te zien hoe ver een hacker bij jouw organisatie zou kunnen komen. Tijd dus voor een pentest.

Bij een pentest spreek je met een security tester (een ethisch hacker) af om uit te zoeken waar de zwakheden in de beveiliging van jouw software of IT-infra zitten. Daarbij kun je zelf bepalen hoeveel voorinformatie je de tester geeft. Hoe minder voorinformatie een hacker krijgt, hoe realistischer de test is. Het nadeel is dan wel dat er relatief veel onderzoekstijd wordt besteed aan het achterhalen van informatie die de organisatie gewoon beschikbaar heeft. Een security tester heeft een beperkt aantal uren voor het uitvoeren van een test en daarbij wil je natuurlijk het liefst dat die tijd nuttig wordt besteed. Als je voor de eerste keer een pentest uitvoert, dan adviseren we je om samen met de security tester de IT-omgeving van je organisatie te bespreken en op basis daarvan nuttige onderzoeksobjecten te bepalen.

Hoe ziet een pentest van Surity eruit?

Bij het uitvoeren van een pentest is het belangrijk om duidelijke afspraken te maken. Welke onderdelen mogen getest worden en welke niet? Mogen de onderzoekers alle beschikbare aanvalsmiddelen gebruiken? Wanneer en hoe communiceren we over resultaten en hoe beperken we de overlast zoveel mogelijk? Deze en meer aandachtspunten leggen we vast in een overeenkomst. Dan is voor alle betrokkenen duidelijk wat hun taken, verantwoordelijkheden en bevoegdheden zijn.

Na het gezamenlijk bepalen van de doelen en scope van de test gaan onze onderzoekers aan de slag. In eerste instantie zullen ze een brede kwetsbaarhedenscan uitvoeren om mogelijke zwakheden en ingangen te ontdekken. Op basis van de bevindingen wordt er een aanvalsplan uitgewerkt en gekeken waar de beveiliging daadwerkelijk doorbroken kan worden.

In overleg met de opdrachtgever wordt een poging gedaan de kwetsbaarheden te misbruiken (in de vorm van een proof of concept). Kritieke bevindingen (met bijbehorend hoog risico) melden we direct. Dan kan er ook meteen aan een oplossing worden gewerkt.

Na afloop van het onderzoek worden de bevindingen verzameld in een rapport en presenteren de adviseurs van Surity de resultaten en aanbevelingen aan de opdrachtgever.

Waarom is het nuttig zwakheden te ontdekken?

Informatiebeveiliging bestaat voor een belangrijk deel uit het bewust worden
van de risico’s die je organisatie loopt. Een goede inschatting van deze risico’s is daarvoor wel noodzakelijk en begint met inzicht in de eigen kwetsbaarheden. Met een pentest krijg je inzicht in die zwakheden op het vlak van software en IT-infra. Het vertalen van de technische risico’s naar bedrijfsrisico’s vormt daarbij een essentiële stap. Alleen dan kan de daadwerkelijke impact worden vastgesteld en is de noodzaak voor mitigerende maatregelen duidelijk.

Met dat inzicht kun je vervolgens verbeteringen doorvoeren die je organisatie echt veiliger maken. Daarmee ben je weer een stap dichter bij het doel: niet op deze lijst terechtkomen.

Vragen?

Neem dan direct contact op met Surity. We zijn te bereiken via:

Stuur mij een offerte.

Laat hieronder uw gegevens achter en geef aan voor welk type scan u een offerte wilt hebben. Wij sturen u binnen één werkdag een offerte toe.

Neem contact met mij op.

Laat hieronder uw naam en nummer achter en wij nemen contact met u op.

Dank je!

Blijf op de hoogte

Schrijf je in voor onze nieuwsbrief!