Wat is Pentesten?

Laten we beginnen met de basics van pentesten. Pentesten, ofwel penetratietesten, is een digitale inbraakpoging, maar dan wel de goede soort. Het is een gecontroleerde aanval op jouw eigen systeem, netwerk of applicatie om die zwakke plekken te vinden voordat (sl)echte hackers dat doen en er misbruik van kunnen maken.

Waarom Pentesten? Het Belang van Cybersecurity 101

Waarom zou je eigenlijk pentesten? Het draait allemaal om het identificeren van de zwakke punten in je digitale omgeving, want je wilt niet dat cybercriminelen inzicht krijgen in jouw data, of erger. Pentesten helpt je je eigen digitale zwakheden bloot te leggen, om ze daarna te kunnen verhelpen, je gegevens te beschermen en een stapje voor te blijven op digitale criminelen.

Verschillende soorten Pentesten

Er zijn verschillende soorten pentesten. We hebben de netwerkpenetratietests, waar we diep in de digitale omgeving van je netwerk duiken. Bij applicatiepenetratietests gaan we op zoek naar verborgen zwakke plekken in je apps. En vergeet de sociale-engineeringtests niet, waar we de menselijke factor onder de loep nemen. Want vergeet niet hoe makkelijk het soms kan zijn om geheime informatie en toegang weg te geven, als je je er niet bewust op bent. Een awareness training kan hier een hele goede toevoeging voor zijn!

Tools van de (ethical) hacker

Hackers, zowel white hat, als black hat hackers, hebben een enorme verscheidenheid aan tools voor het grijpen. Denk aan tools zoals Nmap voor netwerkscans en Metasploit voor geavanceerde aanvallen. Deze digitale hacking-tools helpen je bij het ontdekken van kwetsbaarheden van jouw omgeving. En hopelijk ben jij de black-hat hackers voor, als het gaat om het vinden van deze kwetsbaarheden. Doordat deze tools voor iedereen beschikbaar zijn is de dreiging van hackers nog nooit zo groot geweest.

Wat wil je leren van een Pentest?

Afhankelijk van wat je wilt leren over je eigen systemen kan je kiezen voor WhiteBox, GreyBox of BlackBlox pentesten. Elke ‘kleur’ geeft aan hoeveel informatie de ethical hacker vooraf mag gebruiken/weten voordat de pentest uitgevoerd wordt.

Wil je bijvoorbeeld weten welke kwetsbaarheden jouw systeem bevat als er reeds is ingelogd op het systeem, dan kies je misschien wel voor een Whitebox pentest. Wil je weten of/hoe buitenstaanders toegang krijgen door de buitenste lagen van het systeem te hacken/omzeilen, dan kies je eerder voor een Blackbox pentest. Afhankelijk van het perspectief geeft elke methode andere inzichten.

WhiteBox, GreyBox en BlackBox pentest

Hieronder leggen we white, grey en black varianten van een pentest nog eens verder uit:

WhiteBox Pentesten

Ook bekend als ClearBox testen, omvat WhiteBox pentesten uitgebreide kennis van de interne werking, architectuur en broncode van het doelsysteem.

• Toegangsniveau
  De pentester heeft volledige toegang tot interne informatie van het systeem, inclusief ontwerpdossiers, broncode en infrastructuurdetails. Ook alle accounts tot aan admin-level zijn beschikbaar.
  
  
• Voordelen
  Maakt een grondige analyse van het systeem mogelijk, identificeert potentiële kwetsbaarheden in de code en helpt bij het aanpakken van architecturale gebreken.
  
  
• Gebruikssituaties
  Doorgaans gebruikt tijdens de ontwikkelingsfase om beveiligingsproblemen te vinden en op te lossen voordat het systeem live gaat om vanuit elk perspectief en elk niveau te testen.

GreyBox Pentesten

Grey box pentesten vinden een balans tussen de kennis van de tester en de realistische scenario's door gedeeltelijke informatie over het doelsysteem te verstrekken.

• Toegangsniveau
  De pentester heeft beperkte informatie over het systeem, meestal vanuit het perspectief van een eindgebruiker of enkele hoog-niveau details over het netwerk en de infrastructuur.
  
  
• Voordelen
  Bootst een realistischere aanvalssituatie na door zowel interne als externe perspectieven te combineren. Biedt een compromis tussen grondigheid en realistische omstandigheden.
  
  
• Gebruikssituaties
  Nuttig voor het simuleren van aanvallen waarbij de aanvaller enige kennis heeft over het doel, maar niet alle details. GreyBox of WhiteBox pentesten zijn altijd de keuzes wanneer je te maken hebt met gebruikersrechten.

BlackBox Pentesten

• Definitie
  BlackBox pentesten simuleren een aanvalsscenario waarbij de tester geen voorkennis heeft van het doelsysteem. Het is ontworpen om het perspectief van een externe aanvaller met minimale informatie na te bootsen.
  
  
• Toegangsniveau
  De pentester opereert zonder enige interne kennis van het systeem, vergelijkbaar met hoe een externe hacker het doel zou benaderen.
  
  
• Voordelen
  Biedt een onbevooroordeelde beoordeling van de beveiligingsstatus van het systeem vanuit een extern dreigingsperspectief. De pentester is ook geen tijd kwijt aan het inlezen van documentatie en gaat gelijk aan de slag.
  
  
• Gebruikssituaties
  Nuttig voor het evalueren van de weerstand van een systeem tegen ongerichte, real-world aanvallen. Bootst de omstandigheden van een kwaadwillende actor na zonder voorkennis. Deze test is ideaal wanneer je de buitenste laag van je beveiliging wilt testen, maar is een invalide test wanneer er diverse niveaus van rechten in jouw toepassing zitten.

Cyber Kill Chain: pentest in fasen

Als eenmaal de scope van de pentest duidelijk is. Dan gaat de ethical hacker / pentester van start. Een pentest verloopt meestal in vaste fasen. Deze fasen zijn universeel bekend en bieden zowel best practices voor de white hat hacker, als voor de black hat hacker. Deze fasen leggen we uit hieronder door de Cyber Kill Chain te doorlopen.

De Cyber Kill Chain is een concept dat is ontwikkeld door het cybersecuritybedrijf Lockheed Martin. Het beschrijft de stappen die een aanvaller doorgaans onderneemt om succesvol een doelsysteem te compromitteren. Het doel van de Cyber Kill Chain is om organisaties te helpen bij het begrijpen van de verschillende stadia van een cyberaanval, zodat ze zich beter kunnen voorbereiden en beschermen.

De verschillende fasen van de Cyber Kill Chain zijn:

• Reconnaissance (Verkenning): De aanvaller verzamelt informatie over het doelsysteem, zoals IP-adressen, domeinen, en potentiële zwakke punten. Dit kan worden gedaan via openbare bronnen, social engineering, of andere methoden.
• Weaponization (Wapening): De aanvaller ontwikkelt of verkrijgt kwaadaardige software, zoals malware of exploits, om het doelsysteem aan te vallen.
• Delivery (Levering): De kwaadaardige software wordt afgeleverd aan het doelsysteem. Dit kan gebeuren via e-mails, geïnfecteerde websites, USB-drives, of andere methoden.
• Exploitation (Exploitatie): De kwaadaardige software wordt geactiveerd op het doelsysteem, waarbij gebruik wordt gemaakt van kwetsbaarheden in de beveiliging.
• Installation (Installatie): Eenmaal geëxploiteerd, installeert de aanvaller extra tools en software om toegang te behouden tot het systeem.
• Command and Control (Commando en Controle): De aanvaller vestigt een externe verbinding om controle over het geïnfecteerde systeem te behouden en instructies te geven.
• Actions on Objectives (Acties op Doelen): Dit is het uiteindelijke doel van de aanvaller, zoals het stelen van gevoelige gegevens, het saboteren van systemen, of andere schadelijke activiteiten.

Rapportage van de pentest: een zeer onderschatte vaardigheid

Je kunt een pentest perfect uitvoeren en de kleinste zwakheden blootleggen, die de grootste gevolgen kunnen hebben, maar zonder goede rapportage skills zal een hoop van jouw werk verloren gaan. Door een professionele rapportage op te bouwen geef je precies die inzichten in jouw werk, waardoor de organisatie precies kan inzien hoe jij zwakheden gevonden en uitgebaat hebt. En dat laatste is nou exact de intentie van een pentest.

Toekomstige Pentest Trends

Wat staat er op de horizon voor pentesten? Kunnen we verwachten dat AI het roer overneemt of veel taken gaat overnemen? AI kent een grote opkomst, ook in cybersecurity. Hoe dit ingezet gaat worden voor offensieve en defensieve cybersecuritytaken is nog niet helder, maar duidelijk is wel dat ook AI in de wereld van cybersecurity en pentesten al plaatst heeft genomen. Zowel aanvallend als defensief wordt AI toegepast. Overnemen zal nooit gebeuren. Net zoals de komst van computers, zijn mensen niet overbodig geworden, maar juist nog meer onmisbaar.

Waar ben je naar op zoek?

Kennis en skills
Wil je zelf leren hoe je een professionele pentest uitvoert door de skills, creativiteit en de mindset van een echte hacker op te doen? Daar helpen we je graag bij middels onze erkende en unieke trainingen op het gebied van ethical hacking. Of je nu een beginner bent of al een heel eind op weg. We hebben voor iedereen een passende training. Hieronder een rijtje van traininen die voor jou interessant zijn als je je verder wilt verdiepen in pentesten en een ethical hacker / pentester wilt worden:

• Certified Ethical Hacker v12
• Certified Ethical Hacker Master
• OptiSec Pentest Professional

Pentest laten uitvoeren
Wil je niet leren hacken, maar zoek je professionele ethical hackers die precies weten wat ze doen? Ook dan kunnen we jou helpen. Naast trainingen bieden we ook professionele pentest diensten aan via één van onze erkende partners, die als tweede organisatie in Nederland het CCV Pentest Keurmerk hebben ontvangen. Je laat dan een professionele pentest uitvoeren door een partij waarvan wij weten dat ze kwaliteit en persoonlijke aandacht erg hoog in het vaandel hebben staan.  Maar dat begint eerst met een goed en vrijblijvend gesprek over wat je wilt bereiken. 

Wil je meer weten over ethical hacking of het laten uitvoeren van professionele pentests?

Neem vrijblijvend contact met ons op of bekijk de pentest diensten van onze erkende partner Networking4all.
We geven eerlijk, professioneel en persoonlijk advies, waar je daadwerkelijk iets aan hebt.

Contact opnemen Pentest dienst