Je volledige interne netwerk en alle knooppunten doorgelicht

Lees hier alle netwerk tech stuff die wij meenemen als we gaan testen

Met deze pentest-plus aanpak lichten we je netwerk als een hacker door, we gebruiken hiervoor altijd twee benaderingen: de black-box benadering en de white-box benadering.

"Wij hosten onze software zelf en daar loggen burgers op in met hun DigiD. Dat moet dus veilig en goed zijn en ook aan te tonen, zowel voor ons zelf als voor externe stakeholders."

Matthijs Brunsting, Teamleider software ontwikkeling bij Solviteers

"Secwatch helpt ons de juiste keuze te maken door risico's eerlijk in kaart te brengen. Sommige zijn gewoon nihil, die kun je negeren. Andere moet je buitenshuis oplossen. Daar heb je een onafhankelijk adviseur bij nodig. Dat is Secwatch."

Anoniem, risk manager bij een grote verzekeringsmaatschappij

"Wij moeten continu kunnen aantonen dat onze gegevens veilig zijn. Daar schakelen we Secwatch voor in."

Anoniem, directeur van een cloud documentsysteem met een paar 100.000 personeelsdossiers

Black-box benadering

We emuleren hierbij het gedrag van een cybercrimineel en proberen als een (sl)echte hacker in je systeem te komen. Daarom gebruiken we dezelfde tactieken en dezelfde kill chain die een hacker gebruikt om bijvoorbeeld ransomware te plaatsen op jouw systemen of om gegevens te stelen. We:

 

  • maken een plan van aanval om te proberen “in te breken”
  • onderzoeken of we onze rechten kunnen verhogen
  • testen of we gaandeweg opgemerkt worden door detectiesystemen
  • benaderen het vanuit het perspectief van een cybercrimineel & vanuit een dreiging van binnenuit

White-box benadering

Bij deze benadering is de interne werking van het netwerk wél bij ons bekend en gaan onze testers tot diep in het netwerk op zoek naar bedreigingen. We:

– onderwerpen de actieve netwerkcomponenten, alle eindpunten (werkstations, laptops, tablets, printers, smartphones, enzovoorts) en kern-componenten (servers, firewalls, routers, switches en andere IP-gerelateerde toepassingen) aan een uitgebreide analyse

– toetsen het interne netwerk en de daaraan gekoppelde apparaten

– zoeken naar kwetsbaarheden, patchstatus en configuratiefouten

Het is ook mogelijk om voor een grey-box benadering te kiezen waarbij de hacker beschikt over een inlogaccount met minimale privileges. Hiermee probeert de ethische hacker zijn rechten te verhogen en om data te veroveren dat niet voor dit account bedoeld is.

Hoe testen onze ethisch hackers?

Aan de hand van internationaal gehanteerde standaarden zoals dePenetration Testing Execution Standard (PTES), de ISO 18028, de NIST Cybersecurity framework en de CIS Controls toetsen onze ethische hackers de netwerkinfrastructuur op in ieder geval de volgende onderdelen:

  • kwetsbaarheden en configuratiefouten op systeem- en applicatieniveau
  • netwerkbeveiliging
  • beveiligingsmanagement
  • beveiligingsarchitectuur van het netwerk
  • beveiliging van communicatie tussen netwerken met behulp van security gateways
  • beveiliging van ‘end points’
  • beveiliging van remote access

De analyses worden in 5 fases uitgevoerd:

  1. Prepare for battle

    In deze fase maakt de tester zijn/haar gereedschap gereed voor het assessment en stellen we de kaders van de uit te voeren scan vast: we bepalen de out-of-scope assets, de netwerkkwaliteit en de beschikbare tijd.

  2. Reconaissance

    Tijdens deze belangrijkste fase gaan we (passief) op verkenning uit en brengen hierbij de omgeving in kaart (footprinting) middels passieve en actieve enumeratietechnieken. In deze fase proberen we onder andere de digitale voetafdruk en het aanvalsoppervlak van de organisatie vast te leggen.

  3. Validatie en verkenning

    Aan de hand van de bevindingen uit fase 2 stellen we een aanvalshypothese op en gaan we actief (maar opbouwend) de assets scannen; onder andere poortscans en kwetsbaarhedenscans worden uitgevoerd samen met handmatige acties. Dit zijn onze ‘zachte’ aanvalstechnieken.

  4. Vulnerability scanning en exploit testing

    Deep dive! We graven steeds dieper om actief de kwetsbaarheden, configuratiefouten en exploits zichtbaar te maken. Dit gebeurt zowel tijdens de interne als de externe scan black-box (zonder login). Tijdens het interne assessment volgt daarna de white-box scan. Exploits worden hierbij uiteraard OpSec-safe uitgevoerd.

  5. Validatie en rapportage

    We komen weer boven water en analyseren & controleren alle scanresultaten, gevonden gegevens, kwetsbaarheden en overige data. Ook classificeren en valideren we de gevonden kwetsbaarheden en filteren we de false-positives eruit. Alle testresultaten worden helder uitgewerkt in onze rapportage mét technische bijlage.

Begrip garantie

Niks is gevaarlijker dan een rapport dat verkeerd of half geïnterpreteerd of geïmplementeerd wordt. Daarom garanderen wij dat elke IT- of security-verantwoordelijke binnen jouw organisatie het rapport 100% begrijpt. Zodat je in staat bent om snel en adequaat precies de juiste acties te ondernemen.

Ik wil elke dure dreiging in kaart

Telefoonnummer gekopieerd naar klembord