Datalek opsporen door Pentesten op Informatiesystemen

Een pentest nodig? Wij regelen het!
contact

Regelmaat of incident?

Het concept van Pentesten stelt zich ten doel om de bewustwording van informatiebeveiliging bij het management en de technici van organisaties naar een hoger niveau te brengen. Het doel van informatiebeveiliging is in onze visie het waarborgen van de continuïteit van bedrijfsprocessen en het voorkomen of minimaliseren van schade aan de organisatie bij ongewenste toegang tot datasystemen. 
2Staff Masters in Security Operations  uw professionele partner voor onafhankelijke toetsing van de beveiliging van informatiesystemen. 2Staff Masters in Security Operations fungeert als onafhankelijke partij om uw informatie- en netwerkomgeving objectief onder de loep te nemen en te onderzoeken op potentiële beveiligingsrisico’s. Door middel van onze uiterst geavanceerde kwetsbaarheid-assessments en beveiligingsabonnementen ondersteunen wij uw organisatie bij het ontwikkelen en/of verfijnen van een permanent Wij zien informatiebeveiliging als een integraal bedrijfsproces waarbij de beschikbaarheid, integriteit en vertrouwelijkheid van informatie centraal staat. Met uiterst geavanceerde scantechnieken kunnen zij tot in detail de veiligheidssituatie bij u als opdrachtgever onderzoeken en kwetsbaarheden opsporen. De specialisten kijken daarbij niet alleen naar de hardware- en softwareoplossingen, maar ook naar de organisatorische aspecten zoals beveiligingsplannen. Naast technische aanbevelingen geven wij samen ook inhoudelijke adviezen op het gebied van informatiemanagement en bedrijfsstructuren zodat u concrete oplossingen krijgt aangeboden en verantwoord kunt investeren in betere informatiebeveiliging. Juist deze gerichte en integrale benadering van informatie- en netwerkbeveiliging maakt onze gezamenlijke aanpak uniek in het vakgebied.

Gezamenlijke Visie
Beveiliging van uw dataomgeving betekent veel meer dan ‘af en toe een rondje lopen ter controle’.  De toename van het internetgebruik, de sterke groei van de elektronische afhandeling van zaken én het digitale betalingsverkeer zorgen voor een sterke toename van kwetsbare datastromen van en naar uw bedrijfssystemen.

Vraagt u zich ook wel eens af hoe frequent u een Pentest op informatiesystemen laat uitvoeren?  Wij adviseren u graag hoe u dit het beste aan kunt pakken en onze specialisten staan direct voor u klaar om de test uit te voeren!

Pentesten zijn een waardevolle aanvulling op de beveiliging van informatiesystemen. Een penetratietest (ook pentest genoemd) uitvoeren kan echter een uitdaging zijn. Risico’s moeten minimaal zijn, de kwaliteit van de test optimaal en resultaten moeten bruikbaar zijn om kwetsbaarheden efficiënt te verhelpen. Niet alle organisaties beschikken over gedetailleerde kennis om zelf een pentest uit te voeren en dit wordt dan ook vaak aan 2Staff masters in Security Operations uitbesteed. De opdrachtgever moet echter wel een aantal keuzes maken bij uitbesteding. Om die keuzes te kunnen maken is ook weer bepaalde kennis over pentests nodig.

Andere termen die voor pentest gebruikt worden zijn ethical hacking test, legal hacking test, hacktest, security scan, vulnerability assessment en diverse samenstellingen van deze termen. De termen komen min of meer op hetzelfde neer.

Bij een pentest hoort nogal wat jargon. Vooral de boxen zullen bij een gesprek over pentesting snel op tafel komen: men spreekt van black box tests, grey box, white box en soms zelfs van crystal box en time/budget box tests. Het verschil zit onder meer in de hoeveelheid kennis en achtergrondinformatie die de tester krijgt.

Neem gerust contact met ons op via ons contactformulier

Black Box:
Als een tester minimale voorkennis heeft, is er sprake van black box; In een pure black box komt de aanvaller wellicht niet langs het inlogscherm en heeft dan niet de gelegenheid of de tijd om ook andere aspecten nog te testen.

Gray Box:
De tester beschikt over gedeeltelijke informatie; Dat kan een inlogaccount zijn om te testen of het voor gebruikers met een werkend wachtwoord mogelijk is om misbruik te maken. Denk ook aan een test van een internetbank: het is zinvol om, als de testers niet voorbij het inlogscherm komen, ook bijvoorbeeld te proberen om met geldige inloggegevens geld over te maken van een rekening van iemand anders.

White Box:
De tester krijgt van tevoren inzicht in alle aspecten van de systeemarchitectuur.

Crystal Box:
De testers hebben ook de broncode van de applicatie en tevens toegang tot alle mogelijke configuratie-informatie.

Timebox of Budgetbox:
Dit is een test waarbij de doorlooptijd of de kosten bepalen wanneer de test ophoudt. Bijvoorbeeld: hoe ver kan een team ervaren pentesters in drie dagen komen? Dat kan soms een zinvolle vraag zijn om te stellen. In de fysieke beveiligingswereld weet men immers al veel langer dat 100% veiligheid niet bestaat en verkoopt men kluizen met een tijdsaanduiding: “een aanvaller met de juiste kennis en gereedschap heeft minstens x uur nodig om deze kluis open te krijgen”. Naast de hoeveelheid informatie die de aanvallers ter beschikking hebben, moet er ook een keuze worden gemaakt over de informatie die het eigen personeel krijgt: worden ze op de hoogte gebracht dat een penetratietest uitgevoerd gaat worden of blijven ze in het ongewisse? Bij dat laatste geeft de penetratietest ook inzicht in de manier waarop incidentdetectie en afhandeling wordt uitgevoerd. Het is dan wel van belang dat wordt ingegrepen voordat het personeel vervolgacties (zoals aangifte) gaat ondernemen.

Social Engineering:
Voor het verkrijgen van informatie kunnen de testers publiekelijk beschikbare bronnen raadplegen (zoals Internetpagina’s), maar het is ook mogelijk om ‘social engineering’ toe te passen. Hierbij wordt geprobeerd om informatie te krijgen van medewerkers, door bijvoorbeeld de helpdesk te bellen, door een medewerker om zijn wachtwoord te vragen of door de portier om te praten om het gebouw binnen te komen. Afhankelijk van de doelstelling van de penetratietest kan social
engineering binnen de scope vallen.