Een penetratietest ook wel bekend als een pentest bestaat uit een reeks procedures waarmee de beveiligingsmaatregelen van een IT-systeem omzeild worden om de resistentie van een systeem tegen aanvallen te testen.

Elke penetratietest wordt uitgevoerd door onze CREST, Offensive Security of gelijkwaardig gecertificeerde consultants. Dit verzekerd u van een hoge kwaliteit van dienstverlening en reproduceerbare resultaten.

Een penetratietest is een cruciale voorwaarde voor de bepaling van de mate waarin veiligheidsbeleid effectief is. Daarnaast is deze test essentieel voor naleving van de financiële regelgeving (Sarbanes-Oxley), de PCI DSS voor elektronische betalingen en voor certificering volgens standaarden zoals ISO 27001.

Wij bieden verschillende vormen van penetratietests, hieronder vindt u de 4 hoofdvormen.

Web Applicaties

Steeds meer software-applicaties die uw organisatie gebruikt, worden via een web browser aangeleverd. Deze webapplicaties kunnen variëren van intern ontwikkelde software tot standaard pakketten, van boekhoudsystemen tot webshops en van beperkte toegang via het lokale netwerk tot brede beschikbaarheid via het internet.

Lees meer...

Blueprint Security ontdekt vrijwel altijd ernstige kwetsbaarheden zoals SQL-injectie en cross-site scripting in het overgrote deel van de web applicaties waar wij een penetratietest op verrichten. Dit maakt voortdurend en herhaaldelijk testen van uw webapplicaties door middel van pentests een onmisbaar onderdeel van uw verdediging.

Blueprint Security test uw websites, extranets en intranets op kwetsbaarheden van de applicatielaag. Uw applicaties (zowel intern als extern ontwikkeld) worden getest op:

  • Het vrijgeven van gegevens
  • Privilege-escalatie
  • SQL-injectie
  • Cross-site scripting
  • Cross-site request forgery
  • Kwetsbaarheden bij toegangsbeheer
  • Overige kwetsbaarheden

Blueprint Security gebruikt de OWASP Top 10 als basis voor de meest voorkomende beveiligingsproblemen en ontwikkelt testcases om aanvalsvectoren te bouwen die specifiek zijn voor het type web applicatie. We zijn voortdurend bezig om onze beveiligingsdatabase uit te breiden met de nieuwste dreigingen en pogingen om toegang tot gevoelige gegevens te krijgen.

Als er bij web applicaties moet worden ingelogd met inloggegevens, dan kan er eerst een test worden gedaan zonder inloggegevens en daarna met gegevens van gebruikers met verschillende functies. De test kan blind worden uitgevoerd, zonder toegang tot de broncode, zoals ook een aanvaller zou doen (black box penetratietest) of met meer informatie over de architectuur of de broncode (white box penetratietest).

Mobiele Applicaties

Organisaties, van banken tot bed and breakfasts, bieden hun klanten mobiele apps aan op verschillende apparaten en met een grote verscheidenheid aan besturingssystemen. Mobiele apps zijn even kwetsbaar voor aanvallen als webapplicaties. Blueprint Security biedt gespecialiseerde penetratietests voor mobiele apps aan, die specifiek de kwestbaarheden van mobiele apps aanpakken.

Lees meer...

Mobiele apps kunnen als twee afzonderlijke onderdelen worden gezien: de mobiele app zelf op het apparaat, en de internetdiensten waar de mobiele app mee communiceert. Blueprint Security voert een effectieve penetratietest uit door uitvoerig beide onderdelen te onderzoeken.
De penetratietest in zijn geheel zal verlopen volgens een algemene penetratietestprocedure: het verzamelen van informatie, scanning en probing, beoordeling op kwestbaarheden, toegangstest en rapportage. De mobiele app zelf wordt gecontroleerd op:

  • Input validation-kwetsbaarheden
  • Gevoelige gegevens in binair of code van de app
  • Gevoelige gegevens in het geheugen en de lokale opslag
  • Lokale communicatie zoals Bluetooth of NFC
  • Overblijvende gevoelige gegevens na verwijdering
  • Logging-kwestbaarheden die specifiek voor een platform zijn
  • Problemen rond jailbroken toestellen

De platformen die bij de penetratietest worden onderzocht, kunnen zijn: iOS IPA-bestanden op de iPhone of iPad, Java APK op Android-apparaten, XAP-bestanden voor Windows Phone, andere mobiele platformen of meerdere van deze platformen.
De penetratietest van de internetdiensten waar de mobiele app mee communiceert, lijkt meer op een standaard webapplicatie penetratietest, rekening houdende met de OWASP Top 10, mankementen van de bedrijfslogia, het vrijgeven van informatie en kwestbaarheden in de infrastructuur van de web server.

Interne Netwerken

Een interne penetratietest wordt toegepast om toegang uw interne IT-systemen verkrijgen. Daarbij wordt het onderzoek voornamelijk uitgevoerd vanuit het perspectief van een mogelijke aanvaller met interne toegang of een medewerker met beperkte toegangsrechten. Directies schatten het risico van interne veiligheidskwetsbaarheden vaak laag in, maar deze kunnen een ernstige bedreiging vormen en moeten dan ook serieus genomen worden.

Lees meer...


Bij het uitvoeren van een interne penetratietest probeert Blueprint Security om een hoger toegangsprivilege af te dwingen en toegang te krijgen tot systemen of apparaten die getest moeten worden. Om achter de kwetsbaarheden te komen, richten wij ons op een aantal punten:

  • Achterhalen van de beheerderswachtwoorden
  • Achterhalen van de databasewachtwoorden
  • Screenshots van systeem of server
  • Vertrouwelijke e-mails
  • Vertrouwelijke documenten

Op de standaard methodologie van de penetratietest volgt een interne pentest. Er wordt informatie over het locale netwerk verzameld. Tevens wordt er een scan van de services en kwetsbaarheden uitgevoerd. Mogelijk kwaadwillige toegang wordt bepaald en toegangstests worden uitgevoerd. Omdat gevoelige informatie op een aantal manieren achterhaald kan worden, moeten voor interne tests veel handmatige handelingen worden verricht.

Externe Netwerken

Bij een netwerk penetratietest (ook wel bekend als externe evaluatie van de netwerkveiligheid) gaat het om een externe penetratietest die de kwetsbaarheden van uw computersystemen door blootstelling aan het internet in kaart brengt. Bij voorkeur wordt een dergelijke test een keer per jaar uitgevoerd.

Lees meer...

Doorgaans voert Blueprint Security netwerkpenetratietests uit op de volgende apparaten en systemen:

  • DNS-servers
  • Internet-routers
  • Firewalls
  • IDS/IPS
  • VPN-servers
  • FTP-servers
  • HTTP/HTTPS-servers
  • Mail-servers
  • Intranet-/extranet-servers

Aan de netwerk penetratietest van Blueprint Security ligt een standaard penetratietestmethodologie ten grondslag:

  1. Verzamelen van informatie
  2. Scannen en diepgaand onderzoek
  3. Beoordeling van kwetsbaarheden
  4. Toegangstests
  5. Rapportage

Een netwerk penetratietest wordt door ervaren, CREST- of CHECK-gekwalificeerde veiligheidsconsultants uitgevoerd, die gebruik maken van een uitgebreide set netwerkbeveiligingstools in combinatie met handmatige testtechnieken voor netwerkkwetsbaarheden.

Een regelmatige penetratietest verschaft het management de zekerheid dat de IT-systemen van de organisatie aanvallen weerstaan, wat klanten de gewisheid geeft dat hun gegevens goed beveiligd zijn. Klanten beseffen immers het potentiële risico van de diefstal van online informatie meer dan ooit.

Contact

Neem Contact met Ons op om de Mogelijkheden te Bespreken

Stel je vraag hieronder of bel ons