Wat is penetration testing? 

Penetration testing, pentesting of een pen test is een goed bedoelde poging om je bedrijf, applicatie of bedrijfssystemen te hacken.

Hoezo penetration testing is “goed bedoelde” hacking?

De bedoeling van een penetration test is om IT-kwetsbaarheden bloot te leggen zonder er misbruik van te maken. Bedrijven gebruiken de inzichten uit penetration tests om hun security posture te verbeteren. 

What is penetration testing

Waarom heeft mijn bedrijf een penetration test nodig? 

Je kwetsbaarheden kennen en weten hoe aanvallers zoals cybercriminelen deze kunnen gebruiken, is één van de beste inzichten die je kan hebben in het verbeteren van je IT-security posture.

Het is belangrijk om te weten dat zulke kwetsbaarheden werkelijk in alle lagen en facetten van je onderneming te vinden kunnen zijn: 

Why penetration test

IT-netwerk

Wifi, LAN-, WAN- en VPN-verbindingen, routers, devices, etc. 

Bedrijf-apps & systemen

Jouw ERP, CRM of andere bedrijfsapplicatie, maar ook bedrijfsprocessen

Configuraties

De configuratie van firewalls, cloudtoegang, bedrijfssoftware, kortom je beschermlaag tegen cybercriminelen

Je werknemers

Fysieke toegang tot je kantoren of je bedrijfstoestellen, ja zelfs het doen en laten van je werknemers

Hackers voeren vaak een grondig onderzoek voor ze toeslaan en op die manier gaan ook ethical hackers te werk.

Ben jij klaar voor een penetration test?

Hoe verloopt een penetration test?

Penetration testing kan op verschillende manieren gebeuren en dat komt omdat er steeds heel wat factoren voor zorgen dat geen enkele situatie dezelfde is.

Zo is elk bedrijf uniek: elke IT-infrastructuur (applicaties, netwerken, etc.) ziet er anders uit is daarbovenop nog eens anders beveiligd. Dat maakt dat penetration testing geen kant-en-klare oplossing is. Of toch? Er zijn enkele processen die steeds terugkomen.

 

Wat nu volgt, is een penetration testing stappenplan

Penetration testing step-by-step-process
1. Planning en verkenning

In de eerste fase ga je de scope van de penetration test bepalen. Wat wil ik nu eigenlijk weten? Theoretisch gezien is dit je onderzoeksvraag.

Zo’n onderzoeksvraag kan zijn:

"Is mijn webapplicatie veilig?"

"Zijn mijn bedrijfsgegevens voldoende beschermd?"

"Zijn mijn bedrijfsapplicaties goed geconfigureerd op vlak van rollen en permissies?"

Om een beter overzicht te krijgen over de scope van de penetration test, stel je de onderzoeksvraag best op in samenspraak met de verschillende stakeholders van de penetration test. Aan de hand van die onderzoeksvraag kan je het doel of doelen van de penetration test bepalen, net als de systemen en de test-methodes die zullen gebruikt worden (daar later meer over).

Om die systemen beter te begrijpen gaan de pen testers al waardevolle informatie proberen te achterhalen zoals netwerken, domeinnamen, mailservers, etc. Op deze manier kunnen ze relatief eenvoudig heel wat mogelijke kwetsbaarheden achterhalen.

2. Scanning

Zoals al aangegeven zullen cybercriminelen zich vaak goed voorbereiden voor ze toeslaan. Tijdens het penetration testing proces is dat niet anders. In deze stap proberen de pen testers te begrijpen hoe jouw systemen zouden reageren bij verschillende intrusion attempts.

Dit doen ze aan de hand van geautomatiseerde tools, maar vooral door slim gebruik te maken van het internet.

Ze gaan na of in de code van de verschillende bedrijfssystemen geen bugs zitten of mogelijke security gaps, die al dan niet online aangegeven worden. Daarnaast voeren ze vaak een vulnerability scan uit, om te zoeken naar oude of unpatched componenten die kwetsbaar kunnen zijn voor bekende exploits.

3. Penetreren

Afgaande op wat de pentesters geleerd hebben uit de vorige penetration testing fases, worden nu de zwakke punten gekozen in de systemen van het target die zullen gebruikt worden om te penetreren.

Hoe ze dit doen hangt af van geval tot geval, ze kunnen brute force gebruiken, SQL-injectie, cross-site scripting, wachtwoorden achterhalen door slecht beveiligde authenticatie, of malware bezorgen via social engineering praktijken.

De mogelijkheden zijn eindeloos, maar de moeilijkheid is onopgemerkt blijven voor de security systemen van het bedrijf.

4. Toegang behouden

Het doel van deze fase is om een blijvend voordeel te halen uit de aanval. De aanvallers (in dit geval zonder kwade bedoelingen) gaan proberen om lateraal te bewegen om zo gevoelige assets te ontdekken en blijvende aanwezigheid te verkrijgen - lang genoeg voor cybercriminelen om in-depth toegang te krijgen tot jouw systemen.  

Dit is bij penetration testing de fase waar het allemaal rond draait, de pen testers bouwen nu hun “dossier” op door APT’s (advanced persistent threats) te imiteren. Op deze manier blijven ze net lang genoeg onder de radar (dagen, weken, maanden) om voldoende gevoelige informatie te verkrijgen, die ze zullen analyseren en later zullen voorstellen, waarna verbeteringen kunnen aangebracht worden.

5. Analyse

Vergeet niet: Pentesters zijn brave jongens en meisjes. De bedoeling is niet om kwaad te doen, maar net om bedrijven bewust te maken van mogelijke kwetsbaarheden en dit eventueel op te lossen.

Alles wat ze tijdens het volledige penetration testing proces geleerd hebben, schrijven ze op in een gedetailleerd rapport:

  • De specifieke kwetsbaarheden die gevonden en al dan niet gebruikt zijn
  • Hoe toegang werd verkregen en op welke andere mogelijke manieren dat ook kon
  • Welke systemen gecompromitteerd werden
  • Of en wanneer ze gedetecteerd werden en hoe hierop gereageerd werd
  • Etc.

Dit rapport moet het security-team of IT-team (of serviceprovider) in staat stellen om beveiligingssystemen te configureren en security-oplossingen aan te brengen waar nodig.

 

Penetration test nodig?

Ook interessant voor jou

De NIS2 Richtlijn Samengevat
Easi
Herman Clicq
Herman Clicq
15/01/2024
Het doel van de NIS-richtlijnen is om het collectieve cyberbeveiligingsniveau van de EU-lidstaten te versterken door de eisen inzake handhaving van cyberbeveiliging voor kritieke infrastructuursectoren te verhogen. Maar wat betekent dat? Dit artikel vat de kern van de zaak samen....
Security
Dirk Slechten
Dirk Slechten
20/06/2023
Easi was dit jaar uitgenodigd om deel te nemen aan het Dell World evenement #DellTechTour in de bruisende stad Las Vegas. Gedurende een aantal boeiende dagen hebben Georges Nicolacopoulos en ik veel geleerd.
Security
Dirk Slechten
Dirk Slechten
24/03/2023
Ransomware-aanvallen worden steeds ingewikkelder. Om hun doel te bereiken, richten hackers zich zowel op productiegegevens als op back-upgegevens. Wanneer er geen back-upgegevens beschikbaar zijn voor herstel, zullen bedrijven waarschijnlijk uiteindelijk het losgeld moeten betale...