Een professionele Pentest
Een pentest is een methode om de veiligheid van IT-systemen te testen door een onafhankelijke partij. Hierbij wordt geprobeerd de beveiliging te doorbreken zoals een hacker dat zou doen.
Wat is een pentest?
Een pentest is een methode om de veiligheid van IT-systemen te testen door een onafhankelijke partij. Hierbij wordt geprobeerd de beveiliging te doorbreken zoals een hacker dat zou doen.
Dit is een belangrijke eerste stap om de beveiliging van je systeem te verbeteren. Daarmee voorkom je dat hackers toegang krijgen tot je site, of dat je privacywetgeving overtreedt.
De pentest resulteert in een rapport met de beveiligingsproblemen die bij je organisatie spelen en adviezen om deze aan te pakken. In een goed pentest-rapport worden beveiligingsissues uitgelegd en worden de implicaties voor je bedrijf helder beschreven.
Veiligheid en geheimhouding
Een pentester krijgt mogelijk toegang tot vertrouwelijke data. Daarom wordt er voor een pentest altijd een geheimhoudingsverklaring getekend.
Verder is het natuurlijk heel belangrijk dat de pentester zelf ook zorgvuldig met je data omspringt. Active Collective is ISO27001 gecertificeerd. Je kan er dus zeker van zijn dat je gegevens bij ons in veilige handen zijn.
Waarom een pentest laten uitvoeren?
Privacy
De privacy van je klanten is natuurlijk altijd al belangrijk. Sinds de invoering van de AVG (Algemene Verordening Gegevensbescherming) is dit strikter dan voorheen vastgelegd in de wet.
Vrijwel ieder bedrijf heeft te maken met gebruikersgegevens. Zelfs een simpel contactformulier valt hieronder, en moet dus goed beveiligd zijn. Op websites en in software wordt allerlei gevoelige informatie verzameld, zoals wachtwoorden, persoonsgegevens en user generated content.
De beveiliging van je systeem wordt vaak door een ontwikkelaar opgezet. Dat betekent echter niet dat je alles aan hen over kan laten. Jij bent wettelijk verantwoordelijk voor gebruikersgegevens. Je hebt de plicht om je goed te informeren over de beveiliging van je site of applicatie. Met een pentest wordt inzichtelijk en begrijpelijk hoe veilig je systeem is.
Hackers
Een veilige site is niet alleen belangrijk vanwege wettelijke verplichtingen. Bedrijven hebben steeds vaker te maken met hackers. Een groeiend probleem is ransomware: hackers die je systeem versleutelen en losgeld eisen om dit op te heffen. Dit kan bedrijven volledig platleggen – met grote financiële schade, reputatieschade en soms zelfs faillissement tot gevolg.
Dit risico kan je alleen beperken door je site zo goed mogelijk te beveiligen. De eerste stap om dat voor elkaar te krijgen is een pentest.
Hoe werkt een Pentest?
Een pentest door Active Collective volgt het volgende stappenplan:
- Bepaling test scope – Aan de hand van jouw situatie en vereisten stemmen we af wat de test scope wordt. We maken duidelijke afspraken over welke onderdelen van je website of applicatie getest worden.
- Verzamelen informatie – In deze fase doen we voorwerk. We gaan met je in gesprek en kijken naar de software libraries die in je systeem gebruikt worden. Vervolgens doen we onderzoek naar bekende (OWASP) beveiligingsrisico’s.
- Pentest – Nu is het tijd om de beveiliging in de praktijk op de proef te stellen. We proberen in te breken in je site of applicatie. Daarmee krijgen we een beeld van de kwetsbaarheden in de beveiliging van je serverconfiguratie of code.
- Rapportage – We stellen een rapportage op van de gevonden kwetsbaarheden. Daarbij hoort ook een risico-inschatting, zodat je weet wat het meeste prioriteit heeft. Hierbij gebruiken we het Common Vulnerability Scoring System (CVSS 3.0). Dat geeft helder inzicht in de risico’s aan de hand van een standaard-ratingsysteem.
- Oplossen kwetsbaarheden – Nu ben jij aan zet – samen met je developer los je aan de hand van het rapport de kwetsbaarheden op.
- Planning hertest – We raden aan een hertest in te plannen. Zo weet je zeker of je systeem nu daadwerkelijk veilig is. Uiteraard volgt hieruit weer een rapportage en volgt er, als er nog kwetsbaarheden zijn, development.
Soorten Pentests
Er bestaan drie soorten pentests: black box, grey box en white box:
Black box– Je verschaft ons geen informatie over het systeem. We hebben net zoveel informatie als een kwaadwillende hacker zou hebben, als hij niet over inside informatie beschikt.
Dit type pentest is de meest realistische simulatie is van een aanval van buitenaf, zonder voorkennis. Het nadeel is dat het meer werk en investering kost – er is veel vooronderzoek nodig.
Grey box – Voor dit type pentest geef je ons enige informatie over het systeem. Denk bijvoorbeeld aan inloggegevens.
Een grey box-pentest heeft de voorkeur over black box bij sites met gebruikersaccounts. Hiermee zijn er meer mogelijkheden om te testen als ingelogde gebruiker.
De tijd die bespaard wordt kan bovendien gebruikt worden om meer onderdelen te testen dan met de black box-methode mogelijk zou zijn.
White box – Bij een white box pentest krijgen we volledige inzage in de specificaties en broncode van de website of applicatie.
Dit type pentest is geschikt om een specifiek systeem zo uitvoerig mogelijk te testen. Denk bijvoorbeeld aan het testen van data-encryptie.
Pentest vs. Vulnerability scan
Een pentest wordt nog weleens verward met een vulnerability scan. Beide zijn tests die uitgevoerd worden om zwaktes in de beveiliging van je systeem te vinden. De uitvoering is echter anders, en ze zijn zeker niet inwisselbaar.
Een vulnerability scan is een geautomatiseerde test. Hiermee krijg je een idee van mogelijke zwaktes in je systeem. Hierna moet nog gecheckt worden of dit daadwerkelijke beveiligingsproblemen zijn.
Een pentest is veel uitgebreider. Er komt veel meer handwerk bij kijken: specialisten kammen je site grondig uit. Elk beveiligingsissue wordt uitgebreid getest. Aan het einde weet je dan ook precies welke problemen er spelen, wat prioriteit heeft en wat er gedaan moet worden.
De grootste verschillen zijn dus de grondigheid en het menselijke element. Een pentest kan niet volledig geautomatiseerd worden en is altijd handwerk. Het geeft een volledig beeld van kwetsbaarheden in het systeem.
Het is echter een momentopname: je site verandert met verloop van tijd, en de beveiliging ervan dus ook. Daarom helpen regelmatige automatische vulnerability scans daarna om nieuwe issues te signaleren.
Wat gebeurt er na een Pentest?
Als de pentest is uitgevoerd, stellen we een rapportage voor je op. Deze wordt op beveiligde wijze met de verantwoordelijke gedeeld. De doelen van de rapportage zijn:
- Gevonden technische issues uitleggen in begrijpelijke taal;
- Uitleggen welke implicaties de gevonden issues voor je bedrijf hebben;
- Prioriteiten stellen.
Aan de hand van de rapportage maken we een overzicht van de bevindingen. Daarmee kan je de ontwikkelaar van de site of applicatie informeren over de gevonden kwetsbaarheden.
Nadat de ontwikkelaar de kwetsbaarheden verholpen heeft, raden we aan een hertest in te plannen. Wij checken dan of de kwetsbaarheden opgelost zijn.
Het doel is uiteraard een volledig veilige site. Als dat bereikt is, is het echter niet verstandig om achterover te leunen. Een update van een software library of het toevoegen van nieuwe functies kan tot nieuwe beveiligingsrisico’s leiden. Daarom raden we aan het systeem daarna doorlopend te laten monitoren.
Wij hebben daarvoor de dienst Active Insights. Die bestaat onder andere uit regelmatige vulnerability scans. Bij een grote wijziging aan de site raden we aan om opnieuw een (gedeeltelijke) pentest uit te voeren. Online veiligheid is een doorlopend proces!
Benieuwd naar de online veiligheid voor jouw bedrijf? Vraag het Raymond.
Wil je de beveiliging van jouw site of applicatie verbeteren? Neem dan contact op met Active Collective via [email protected]