Een Penetratie test of pentest laten uitvoeren door Triple B

Iedereen is verbonden met internet. Maar is die internet aansluiting wel veilig. Of u bent eigenaar van een website, maar is die website wel goed beveiligd tegen hackers? Dit soort vragen kan Triple B voor u beantwoorden:

Een pentest is de eerste, makkelijkste en snelste methode om te meten of een netwerkverbinding, uw website of uw webapplicatie beveiligd is tegen hacken. Met andere woorden, penetratie tests zijn ‘legale’ of ‘ethische hacker’ aanvallen op uw netwerk, website, internettoegang of computersysteem om inzicht te krijgen in de beveiligingsrisico’s en kwetsbaarheden. Andere namen voor pentest zijn ; vulnerability scan, kwetsbaarheidsanalyse of vulnerability test.

Welke test is voor u van toepassing? We leggen het u graag uit in een kosteloos kennismakingsgesprek. Eventueel kunt u al iets meer lezen over de verschillende soorten pentests op onze uitlegpagina over pentests.

Uw vragen voorafgaand aan een vulnerability scan of pentest zouden kunnen zijn:

• Ik wil weten hoe veilig mijn netwerk is
• Ik wil weten hoe veilig mijn website is
• Ik heb software gemaakt maar is die veilig?
• Ik moet elk jaar voor de privacy een test laten doen, wie kan dat doen?
• Ik ben beheerder van een firewall maar heb ik hem echt goed dichtgezet?

Wanneer pentesten?

Er kunnen meerdere momenten zijn waarop een pentest zinvol is:

• Ik ben een nieuwe website gebouwd en wil die testen
• We hebben een nieuwe server of firewall aangesloten op internet maar is die veilig?
• Ik heb software gebouwd maar is die veilig?
• Ik wil weten of mijn ICT beheerder alles veilig heeft aangesloten

Kosten pentest / beveiligingsscan

Voor alle tests hanteren wij vooraf opgegeven prijzen. U komt dus niet voor verassingen te staan wat de prijs betreft, misschien wel voor wat betreft de veiligheid. Het komt zelden voor dat wij geen beveiligingsgaten vinden.

Wat zijn de stappen van een penetratie test?

Er zijn een aantal stappen in het proces. Als u een penetratie test wil laten uitvoeren, informeer dan altijd goed wat een pentester daadwerkelijk voor u gaat doen. Sommige partijen verstaan onder het pentesten het ‘aanzetten van een tool’ een de uitdraai van de tool opsturen naar de klant. In onze beleving is dit geen echte pentest of vulnerability assessment. Wij hebben deze tools ook en ook bij ons vormen ze een stap in het proces. Doorgaans wordt er bij Triple B veel meer gedaan dan het aanzetten van een tool:

1. Stap 1; risico analyse: In welke verhouding staat onze ‘meting’  tot de risico’s op gebied van beschikbaarheid, vertrouwelijkheid en continuïteit? Op basis hiervan bepalen we met u de intensiteit, scope en diepgang
2. Stap 2; impact en backups. Vooraf moet u een vrijwaring tekenen die ons toestemming verleend de test te mogen doen. Is er een testomgeving? Dan kunnen wij meer testen zonder het risico dat er iets ‘stuk’  kan gaan.
3. Stap 3: Fingerprinting; wat vinden we zelf voor assets en informatie. Deze stap wordt tegenwoordig door ons ook los uitgevoerd omdat er zoveel informatie te vinden is die mogelijk schade zou kunnen geven of die uw ‘assets’ (bezittingen) blootgeven
4. Stap 4: De geautomatiseerde scans met eigen software en met tools van o.a Nessus en Qualys
5. Stap 5: Lezen/filteren en interpreteren van de uitkomsten. Technische tools bevatten vaak false positives of classificeren uitkomsten te hoog of te laag.
6. Stap 6: De belangrijkste stap tijdens onze pentest; handmatige controles. De informatie uit stap 3 en 4 wordt meegenomen maar vooral jarenlange ervaring heeft ons geleerd waar de gaten kunnen zitten in uw beveiliging. Een geautomatiseerde scan kan heel vele risico’s die er we zijn nooit meten en u wilt ze zeker wel weten. Voorbeelden zijn: het uploaden van een script of een testvirus, kan ik onbedoeld via de software hoge kosten maken door bijvoorbeeld een miljoen mails te sturen, verklapt het login scherm niet te veel informatie en is er wel two factor toegepast?
7. Stap 7: Rapportage: Sommige klanten willen onze ruwe ‘output’ omdat de pentest in het kader van bijvoorbeeld een interne audit wordt uitgevoerd. Heeft u de uitkomsten nodig in een officieel rapport dan stellen wij dit rapport op. Eerst in draft, en daarna in definitieve vorm nadat uw input en management response zijn verwerkt.

Naast de via het internet uitgevoerde pentests doen wij ook ‘on-site’  pentests en source code reviews en scans. Wilt u meer weten of direct een pentest of source code scan bestellen, druk dan op de knop?