Penetratietest
De penetratietest, kortweg pentest, is erop gericht de aanwezige beveiligingen op het gebied van informatiebeveiliging actief te testen op de gewenste effectiviteit.
Toegevoegde waarde
Een penetratietest ondersteunt uw organisatie tegen de vele ICT dreigingen met financiële, reputatie, juridische en/of operationele schade als gevolg.
Werkwijze
Elke test begint met een verkenning waarbij veelal openbare informatie wordt gebruikt om een eerste inzicht van de situatie te krijgen. Daarna wordt een scan uitgevoerd waarbij het testobject op meer dan 30.000 bekende kwetsbaarheden wordt nagelopen.
Tijdens de derde stap wordt diepgaand, “out-of-the-box”, met diverse middelen toegewerkt naar mogelijke hacks die kunnen leiden tot ongeautoriseerde toegang of gebruik van het testobject.
Voor de derde stap wordt, in overleg tijdens de projectinitiatie, een keuze gemaakt uit een van de volgende methoden:
- Black Box
Het testobject wordt benoemd zonder verdere informatie of toegang vooraf te geven. Doorgaans zijn deze objecten benaderbaar vanaf internet. - Grey Box
Het testobject wordt benoemd waarbij in beperkte mate toegang wordt gegeven door middel van testaccounts. - White (ook wel Crystal) Box
Het testobject wordt benoemd waarbij alle mogelijke informatie vooraf wordt verstrekt. Tijdens de test is toegang tot elk punt in de keten beschikbaar.
De gewenste keuze is mede afhankelijk van de risico inschatting en het beschikbare budget.
Resultaat
Vanzelfsprekend wordt elk testproject afgesloten met een heldere rapportage. Hierin wordt op hoofdlijnen en in detail ingegaan op de bevindingen en bijbehorende remedies.
Discretie
Twee maanden na oplevering van het project wordt alle vergaarde informatie en rapportage op veilige wijze verwijderd (secure shredding) van onze beveiligde systemen.