Wat is penetration testing? 

Penetration testing, pentesting of een pen test is een goed bedoelde poging om je bedrijf, applicatie of bedrijfssystemen te hacken.

Hoezo penetration testing is “goed bedoelde” hacking?

De bedoeling van een penetration test is om IT-kwetsbaarheden bloot te leggen zonder er misbruik van te maken. Bedrijven gebruiken de inzichten uit penetration tests om hun security posture te verbeteren. 

What is penetration testing

Waarom heeft mijn bedrijf een penetration test nodig? 

Je kwetsbaarheden kennen en weten hoe aanvallers zoals cybercriminelen deze kunnen gebruiken, is één van de beste inzichten die je kan hebben in het verbeteren van je IT-security posture.

Het is belangrijk om te weten dat zulke kwetsbaarheden werkelijk in alle lagen en facetten van je onderneming te vinden kunnen zijn: 

Why penetration test

IT-netwerk

Wifi, LAN-, WAN- en VPN-verbindingen, routers, devices, etc. 

Bedrijf-apps & systemen

Jouw ERP, CRM of andere bedrijfsapplicatie, maar ook bedrijfsprocessen

Configuraties

De configuratie van firewalls, cloudtoegang, bedrijfssoftware, kortom je beschermlaag tegen cybercriminelen

Je werknemers

Fysieke toegang tot je kantoren of je bedrijfstoestellen, ja zelfs het doen en laten van je werknemers

Hackers voeren vaak een grondig onderzoek voor ze toeslaan en op die manier gaan ook ethical hackers te werk.

Ben jij klaar voor een penetration test?

Hoe verloopt een penetration test?

Penetration testing kan op verschillende manieren gebeuren en dat komt omdat er steeds heel wat factoren voor zorgen dat geen enkele situatie dezelfde is.

Zo is elk bedrijf uniek: elke IT-infrastructuur (applicaties, netwerken, etc.) ziet er anders uit is daarbovenop nog eens anders beveiligd. Dat maakt dat penetration testing geen kant-en-klare oplossing is. Of toch? Er zijn enkele processen die steeds terugkomen.

 

Wat nu volgt, is een penetration testing stappenplan

Penetration testing step-by-step-process
1. Planning en verkenning

In de eerste fase ga je de scope van de penetration test bepalen. Wat wil ik nu eigenlijk weten? Theoretisch gezien is dit je onderzoeksvraag.

Zo’n onderzoeksvraag kan zijn:

"Is mijn webapplicatie veilig?"

"Zijn mijn bedrijfsgegevens voldoende beschermd?"

"Zijn mijn bedrijfsapplicaties goed geconfigureerd op vlak van rollen en permissies?"

Om een beter overzicht te krijgen over de scope van de penetration test, stel je de onderzoeksvraag best op in samenspraak met de verschillende stakeholders van de penetration test. Aan de hand van die onderzoeksvraag kan je het doel of doelen van de penetration test bepalen, net als de systemen en de test-methodes die zullen gebruikt worden (daar later meer over).

Om die systemen beter te begrijpen gaan de pen testers al waardevolle informatie proberen te achterhalen zoals netwerken, domeinnamen, mailservers, etc. Op deze manier kunnen ze relatief eenvoudig heel wat mogelijke kwetsbaarheden achterhalen.

2. Scanning

Zoals al aangegeven zullen cybercriminelen zich vaak goed voorbereiden voor ze toeslaan. Tijdens het penetration testing proces is dat niet anders. In deze stap proberen de pen testers te begrijpen hoe jouw systemen zouden reageren bij verschillende intrusion attempts.

Dit doen ze aan de hand van geautomatiseerde tools, maar vooral door slim gebruik te maken van het internet.

Ze gaan na of in de code van de verschillende bedrijfssystemen geen bugs zitten of mogelijke security gaps, die al dan niet online aangegeven worden. Daarnaast voeren ze vaak een vulnerability scan uit, om te zoeken naar oude of unpatched componenten die kwetsbaar kunnen zijn voor bekende exploits.

3. Penetreren

Afgaande op wat de pentesters geleerd hebben uit de vorige penetration testing fases, worden nu de zwakke punten gekozen in de systemen van het target die zullen gebruikt worden om te penetreren.

Hoe ze dit doen hangt af van geval tot geval, ze kunnen brute force gebruiken, SQL-injectie, cross-site scripting, wachtwoorden achterhalen door slecht beveiligde authenticatie, of malware bezorgen via social engineering praktijken.

De mogelijkheden zijn eindeloos, maar de moeilijkheid is onopgemerkt blijven voor de security systemen van het bedrijf.

4. Toegang behouden

Het doel van deze fase is om een blijvend voordeel te halen uit de aanval. De aanvallers (in dit geval zonder kwade bedoelingen) gaan proberen om lateraal te bewegen om zo gevoelige assets te ontdekken en blijvende aanwezigheid te verkrijgen - lang genoeg voor cybercriminelen om in-depth toegang te krijgen tot jouw systemen.  

Dit is bij penetration testing de fase waar het allemaal rond draait, de pen testers bouwen nu hun “dossier” op door APT’s (advanced persistent threats) te imiteren. Op deze manier blijven ze net lang genoeg onder de radar (dagen, weken, maanden) om voldoende gevoelige informatie te verkrijgen, die ze zullen analyseren en later zullen voorstellen, waarna verbeteringen kunnen aangebracht worden.

5. Analyse

Vergeet niet: Pentesters zijn brave jongens en meisjes. De bedoeling is niet om kwaad te doen, maar net om bedrijven bewust te maken van mogelijke kwetsbaarheden en dit eventueel op te lossen.

Alles wat ze tijdens het volledige penetration testing proces geleerd hebben, schrijven ze op in een gedetailleerd rapport:

  • De specifieke kwetsbaarheden die gevonden en al dan niet gebruikt zijn
  • Hoe toegang werd verkregen en op welke andere mogelijke manieren dat ook kon
  • Welke systemen gecompromitteerd werden
  • Of en wanneer ze gedetecteerd werden en hoe hierop gereageerd werd
  • Etc.

Dit rapport moet het security-team of IT-team (of serviceprovider) in staat stellen om beveiligingssystemen te configureren en security-oplossingen aan te brengen waar nodig.

 

Penetration test nodig?

Ook interessant voor jou

SOC interview wat is het en waarom heb ik het nodig
Easi
Laurent Boveroux
Laurent Boveroux
17/05/2022
Een SOC is niet te verwarmen met de sokken aan je voeten maar is een heuse security-oplossing die heel wat bedrijven een hoop geld en kopzorgen kan besparen. We spraken met Robin Bruynseels, Cybersecurity en SOC engineer bij Easi, die ons haarfijn kon uitleggen wat het is en hoe ...
De meest veelbelovende security vendoren in 2022
Easi
Quincy Cabral
Quincy Cabral
20/04/2022
Veel bedrijven beweren de beste Cyber en Network Security diensten aan te bieden. Vandaag de dag zijn er honderden oplossingen beschikbaar die verschillende gebieden van IT-beveiliging aanpakken - van bescherming tegen malware tot encryptie of data back-up.
Evilginx
Easi
Robin Bruynseels
Robin Bruynseels
01/03/2022
Phishing-aanvallen blijven erg populair bij cybercriminelen, vooral sinds het begin van de pandemie. Sindsdien is het aantal aanvallen gericht op bedrijven sterk toegenomen.