Mogen wij je doorverwijzen naar de Nederlandstalige website? Ja graag! / Vraag het me niet nog een keer
Blog

Met pentesten je cybersecurity checken

20 februari, 2024
BMaarten de Bakker from CaptureTech
Maarten de Bakker
Pentesten voor cybersecurity
20 februari, 2024
Maarten de Bakker

Met pentesten (penetratietesten) kun je checken wat de status van jouw cybersecurity is. Voor iedere organisatie, van klein tot groot, is het belangrijk beschermd te zijn tegen cyberaanvallen. Want deze treffen niet langer alleen de grote bedrijven, maar juist het MKB is met grote regelmaat slachtoffer. Daarom is het belangrijk dat de cybersecurity van elke organisatie op orde is.

Wat zijn pentesten?

Bij een penetratietest (pentest) wordt geprobeerd om op verschillende manieren en met diverse middelen toegang te krijgen tot je IT-omgeving. In feite wordt een hack nagebootst, alleen dan zonder jouw organisatie bloot te stellen aan de echte dreiging van een cyberaanval.

Een pentest wordt uitgevoerd door ethische hackers. Dit zijn security experts die de kennis hebben om jouw omgeving binnen te dringen, maar dit enkel met de intentie doen om kwetsbaarheden en zwakke plekken in jouw IT-infrastructuur bloot te leggen, zodat je deze met slimme oplossingen kunt verhelpen. Een ethisch hacker werkt alleen met jouw uitdrukkelijke toestemming.

Is een pentest dan hetzelfde als een vulnerability scan? Nee, zeker niet. Een vulnerability scan is een volledig automatisch proces dat IT-systemen controleert op zwakheden. Daarbij worden enkel bekende beveiligingsfouten getest, maar de intelligentie om kwetsbaarheden op te sporen die hiervan afwijken, ontbreekt. Dat betekent niet dat een vulnerability scan niet goed is, maar het is een veel minder uitgebreide test.

Tijdens een pentest gaan we namelijk op alle mogelijke manier op zoek naar manieren om binnen te komen. Dit doen we met automatische processen maar ook handmatige acties. De ethisch hacker kruipt als het ware in de huid van een echte hacker en probeert diens denk- en handelswijze te benaderen.

Wel kunnen een vulnerability scan en een pentest elkaar aanvullen. Blijkt bijvoorbeeld uit een snelle scan dat er gaten in de cybersecurity zitten, dan kan met een pentest grondiger en gerichter onderzocht worden waar de kwetsbaarheden precies zitten en of er nog meer kwetsbaarheden te vinden zijn.

Wanneer is het slim om te pentesten?

Pentesten zijn dé manier om de status van je cybersecurity te checken. Het is een beproefde methode om te bepalen welke maatregelen je kunt nemen om je te wapenen tegen hacks en cyberaanvallen. Een pentest is dus op veel momenten een goed idee.

Zo kan een pentest zwakheden in nieuwe infrastructuur of software in kaart brengen. Maar ook in bestaande omgevingen is het vaak niet onverstandig dit regelmatig te laten checken. Bijvoorbeeld wanneer jij nieuw bij een organisatie komt werken en verantwoordelijk wordt voor cybersecurity. Je weet dan meteen wat de status is, en waar je prioriteiten qua beveiliging komen te liggen.

Steeds meer organisaties kiezen er ook voor om jaarlijks een pentest te laten uitvoeren.

De wereld van cybersecurity staat namelijk niet stil, en hackers ontwikkelen steeds nieuwe werkwijzen en methodes om cyberaanvallen te plegen. Een jaarlijks testmoment om te kijken of je beveiliging nog voldoet, is dus vaak geen overbodige luxe.

Amphenol penetratietest

Amphenol kiest voor penetratietests

“CaptureTech heeft goed geluisterd naar wat we willen en nodig hebben.”

Monique van Houten
Sales Operations & IT Manager

Bekijk case

Pentesten: drie opties

Bij CaptureTech bieden we onze klanten drie verschillende soorten pentesten aan: de black box, white box en grey box pentesten. Welke het beste bij je organisatie past, hangt vooral af welk doel je hoopt te bereiken.

Voordat wij dus beginnen met een pentest, gaan we uitgebreid met jou in gesprek om je doelen en de scope van de pentest te bepalen. Vervolgens stellen we een overeenkomst op, waarin ook alle juridische zaken worden geregeld. En dan gaan we voor jou aan de slag!

Pentesten black box

1. Black Box

Bij een Black Box pentest hebben wij vooraf geen informatie over je IT-omgeving. Als ethisch hacker moeten we dus echt in de huid van een hacker kruipen, die geen enkele voorkennis heeft over je systemen en infrastructuur. Een black box pentest geeft vooral een algemeen beeld van het beveiligingsniveau van jouw organisatie.

Penetratietest white box

2. White Box

Aan het andere eind van het spectrum kom je bij de White Box pentest. Hierbij krijgen we veel informatie over je IT-omgeving, zoals welke applicaties er draaien en informatie over gebruikersrollen en functionaliteiten. Hierdoor kunnen we zeer grondig te werk gaan, maar dat betekent ook dat als de scope niet duidelijk zou zijn, de pentest te uitgebreid kan zijn. Daarom wordt een White Box pentest vooral gedaan bij een beperkte scope, bijvoorbeeld enkel voor bedrijfskritische systemen en gegevens.

Grey box penetratietest

3. Grey Box

De Grey Box pentesten zijn een combinatie van Black en White Box pentesten. Wij hebben hierbij vooraf beperkte informatie over je IT-omgeving ontvangen, bijvoorbeeld over gebruikersaccounts of netwerkinformatie. Hiermee heeft de ethisch hacker iets meer kennis van de interne of externe omgeving dan een hacker die zich vooraf in jouw omgeving verdiept heeft.

Deze pentest kan een stuk uitgebreider zijn dan de Black Box, maar minder diepgaand dan de White Box.

Pentesten door CaptureTech

Een vraag die we veel horen, is of het verstandig is om een pentest te laten doen door iemand die jouw omgeving goed kent, zoals een (IT)-medewerker. Onze visie is dat het altijd slim is om een externe partij, en geen intern team, de pentesten te laten doen. Zo is CaptureTech gespecialiseerd in cybersecurity en worden alle trends en veranderingen nauwgezet gevolgd zodat onze expertise altijd up-to-date is.

Bovendien staan onze collega’s die de pentesten uitvoeren volledig los van de teams die het beheer bij onze klanten doet. Zo kunnen we altijd onbevooroordeeld en met enkel de juiste informatie die bij de gekozen pentest hoort, de test uitvoeren.

Als we onze security-expert Mikel Warbie vragen wat de pentesten van CaptureTech uniek maken, benoemt hij de creativiteit van zijn collega’s: “Zij denken graag out-of-the-box. Zo deden zij recent een pentest bij een klant, waarbij ze op locatie gingen testen of ze op de WiFi konden komen. Daarvoor stonden ze voor het pand en toen bedachten ze nog een test. Eén van hen betrad het pand met de mededeling dat hij een monteur was die naar een printer moest kijken. Hij mocht doorlopen en kon via de printer op de infrastructuur van de klant komen. Ook dat is een zwak punt. Ons advies was dus ook om de processen voor bezoekers nog eens goed onder de loep te nemen. Maar dit soort dingen gebeuren dan spontaan, en dat doe je niet als je alleen vanachter je bureau de pentest uitvoert.”

Pentesten door Mikel Warbie

Verbeter je cybersecurity

Het doel van pentesten is dus om zwakheden in de IT-infrastructuur bloot te leggen, om deze vervolgens te kunnen oplossen. De oplossing bestaat vaak deels uit techniek, zoals CaptureTech Cyber Shield. Maar zoals bovenstaand voorbeeld laat zien, behoort awareness bij medewerkers ook vaak tot de oplossing.

Na een pentest ontvang je dan ook een uitgebreide rapportage van ons, met daarin naast onze bevindingen ook onze aanbevelingen. We beginnen hiermee altijd bij de meest eenvoudig te implementeren oplossingen waarmee de grootste stappen gemaakt kunnen worden, het zogenoemde laaghangende fruit. Daarna kun je voor extra security complexere oplossingen implementeren.

Door regelmatig opnieuw te pentesten, houd je zicht op of de gekozen oplossingen nog voldoen, of dat je wellicht extra security nodig hebt.

close