• Portretfoto van Ralph Jacobs
    Ralph Jacobs

Niemand gaat je hacken. Toch?

Geen enkele organisatie wil gehackt worden. Toch lees je geregeld dat het ergens mis is gegaan: onbevoegden hebben toegang gekregen tot gegevens die best wel gevoelig zijn. Soms hebben ze geldelijk gewin als doel, soms is het doel niet duidelijk. Vaak weet de organisatie die het doelwit is niet eens precies wat er is buitgemaakt.

Waarom een pentest

Met een pentest ("penetration test") identificeer je zwakke plekken in je beveiliging voordat anderen dat doen.

Wat is een pentest?

Een pentest is een test waarbij zogenaamde ethical hackers systemen onderzoeken op kwetsbaarheden. De ethical hackers proberen op verschillende manieren zwakke plekken in de systemen te vinden. Ze proberen bijvoorbeeld ongeautoriseerd toegang te krijgen tot informatie. Een pentest vindt dan ook altijd plaats in opdracht van, en met toestemming van, de eigenaren van de systemen die getest worden.

Hoe gaat een pentest in zijn werk?

Een pentest van bestaat uit verschillende onderdelen. Aangezien de ethical hackers die de pentest uitvoeren toegang krijgen tot gevoelige gegevens, is het van belang goede afspraken te maken over de scope, de geheimhouding en de juridische vrijwaring (bijvoorbeeld in een vrijwaardingsdocument). Daarnaast is het voor de kwaliteit van belang om vooraf duidelijk te hebben welke certificeringen de persoon heeft die de pentest uitvoert en of er bepaalde persoonlijke screeningen beschikbaar zijn.

Beveiliging
Beveiliging

Soorten pentesten

Er zijn verschillende soorten pentesten mogelijk. Zo zijn er blackbox-, greybox- en whitebox pentesten:

  • Bij black box pentesten krijgt de pentester vooraf weinig informatie. De test wordt dan ook vaak gebruikt bij het controleren van de algemene veiligheid van een applicatie, netwerk of omgeving.
  • Bij een white box pentest krijgt de tester volledige toegang tot het netwerk. Hierdoor is het mogelijk om op basis van alle informatie een goede screening te maken. De white box test wordt vaak gebruikt voor middelgrote applicaties.
  • Als laatste wordt de grey box pentest beschouwd als een combinatie van de black box en white box pentesten. Hierbij krijgt de tester voorafgaand aan de test beperkte informatie over het netwerk en achterliggende systemen. Daarnaast krijgt de tester een gebruikersaccount in het systeem.

Door deze test uit te voeren kan er geanalyseerd worden hoe een echte hacker die al bepaalde toegang heeft, hoe veilig het is vanuit gebruikersperspectief. Kortom, deze test zorgt ervoor dat je gerichter kwetsbare plekken in het systeem kan opsporen en daardoor uiteindelijk de applicatie nog veiliger kan maken.

Bevindingen en verbeteringen

Bevindingen worden vaak geclassificeerd als laag, midden, hoog, zeer hoog. Na een bepaalde periode vindt er vaak een hertest plaats. We hebben voor verschillende opdrachtgevers deze audit trajecten doorlopen in samenwerking met onze partner. Vervolgens kijken we naar de bevindingen en voeren we de verbeteringen door.

Ook interesse in het veiliger maken van je online applicatie? Neem contact met ons op.

We love code