Je volledige interne netwerk en alle knooppunten doorgelicht
Lees hier alle netwerk tech stuff die wij meenemen als we gaan testen
Met deze pentest-plus aanpak lichten we je netwerk als een hacker door, we gebruiken hiervoor altijd twee benaderingen: de black-box benadering en de white-box benadering.
Black-box benadering
We emuleren hierbij het gedrag van een cybercrimineel en proberen als een (sl)echte hacker in je systeem te komen. Daarom gebruiken onze ethische hackers dezelfde tactieken en dezelfde kill chain die een hacker gebruikt om bijvoorbeeld ransomware te plaatsen op jouw systemen of om gegevens te stelen. We:
- maken een plan van aanval om te proberen “in te breken”
- onderzoeken of we onze rechten kunnen verhogen
- testen of we gaandeweg opgemerkt worden door detectiesystemen
- benaderen het vanuit het perspectief van een cybercrimineel & vanuit een dreiging van binnenuit
White-box benadering
Bij deze benadering is de interne werking van het netwerk wél bij ons bekend en gaan onze testers tot diep in het netwerk op zoek naar bedreigingen. We:
– onderwerpen de actieve netwerkcomponenten, alle eindpunten (werkstations, laptops, tablets, printers, smartphones, enzovoorts) en kern-componenten (servers, firewalls, routers, switches en andere IP-gerelateerde toepassingen) aan een uitgebreide analyse
– toetsen het interne netwerk en de daaraan gekoppelde apparaten
– zoeken naar kwetsbaarheden, patchstatus en configuratiefouten
Het is ook mogelijk om voor een grey-box benadering te kiezen waarbij de hacker beschikt over een inlogaccount met minimale privileges. Hiermee probeert de ethische hacker zijn rechten te verhogen en om data te veroveren dat niet voor dit account bedoeld is.
Hoe testen onze ethisch hackers?
Aan de hand van internationaal gehanteerde standaarden zoals dePenetration Testing Execution Standard (PTES), de ISO 18028, de NIST Cybersecurity framework en de CIS Controls toetsen onze ethische hackers de netwerkinfrastructuur op in ieder geval de volgende onderdelen:
- kwetsbaarheden en configuratiefouten op systeem- en applicatieniveau
- netwerkbeveiliging
- beveiligingsmanagement
- beveiligingsarchitectuur van het netwerk
- beveiliging van communicatie tussen netwerken met behulp van security gateways
- beveiliging van ‘end points’
- beveiliging van remote access
De analyses worden in 5 fases uitgevoerd:
-
Prepare for battle
In deze fase maakt de tester zijn/haar gereedschap gereed voor het assessment en stellen we de kaders van de uit te voeren scan vast: we bepalen de out-of-scope assets, de netwerkkwaliteit en de beschikbare tijd.
-
Reconaissance
Tijdens deze belangrijkste fase gaan we (passief) op verkenning uit en brengen hierbij de omgeving in kaart (footprinting) middels passieve en actieve enumeratietechnieken. In deze fase proberen we onder andere de digitale voetafdruk en het aanvalsoppervlak van de organisatie vast te leggen.
-
Validatie en verkenning
Aan de hand van de bevindingen uit fase 2 stellen we een aanvalshypothese op en gaan we actief (maar opbouwend) de assets scannen; onder andere poortscans en kwetsbaarhedenscans worden uitgevoerd samen met handmatige acties. Dit zijn onze ‘zachte’ aanvalstechnieken.
-
Vulnerability scanning en exploit testing
Deep dive! We graven steeds dieper om actief de kwetsbaarheden, configuratiefouten en exploits zichtbaar te maken. Dit gebeurt zowel tijdens de interne als de externe scan black-box (zonder login). Tijdens het interne assessment volgt daarna de white-box scan. Exploits worden hierbij uiteraard OpSec-safe uitgevoerd.
-
Validatie en rapportage
We komen weer boven water en analyseren & controleren alle scanresultaten, gevonden gegevens, kwetsbaarheden en overige data. Ook classificeren en valideren we de gevonden kwetsbaarheden en filteren we de false-positives eruit. Alle testresultaten worden helder uitgewerkt in onze rapportage mét technische bijlage.
Begrip garantie
Niks is gevaarlijker dan een rapport dat verkeerd of half geïnterpreteerd of geïmplementeerd wordt. Daarom garanderen wij dat elke IT- of security-verantwoordelijke binnen jouw organisatie het rapport 100% begrijpt. Zodat je in staat bent om snel en adequaat precies de juiste acties te ondernemen.
Ik wil elke dure dreiging in kaart