Pentesten : dit moet je erover weten

Pentesten : dit moet je erover weten

Door middel van een penetratietest (ook wel pentest genoemd) kan inzichtelijk worden gemaakt waar de risico’s en kwetsbaarheden van de onderzochte systemen liggen. En kunnen verbeteringen gericht worden doorgevoerd om de beveiliging te versterken en daarmee de risico’s en kwetsbaarheden te verminderen.

Wat is een pentest?

Een pentest is een test waarbij ethical hackers systemen en platformen onderzoeken op kwetsbaarheden. De ethical hackers proberen op verschillende manieren zwakke plekken in systemen te vinden.

Door een combinatie van geautomatiseerde gereedschappen en creativiteit proberen de ethical hackers ongeautoriseerd toegang te krijgen tot het platform. Een pentest vindt altijd plaats in opdracht van de klant. Als er geen duidelijke afspraken vooraf worden gemaakt, is er sprake van computervredebreuk.

Nadat een pentest is uitgevoerd, worden de bevindingen door middel van een rapportage met de opdrachtgever gedeeld. In deze rapportage worden de gevonden kwetsbaarheden beschreven. De scores worden bepaald middels CVVS bepaald (Common Vulnerability Scoring System). Vervolgens worden er adviezen gegeven waarmee de kwetsbaarheden verholpen kunnen worden.

Aangeraden wordt om een pentest periodiek uit te voeren, omdat een pentest een momentopname betreft en omgevingen vaak aan veranderingen onderhevig zijn.

Hoe gaat een pentest in zijn werk?

Een pentest bestaat uit verschillende onderdelen. Er wordt gestart met een intakegesprek met de opdrachtgever. Tijdens het intakegesprek wordt het onderzoeksgebied (de scope) van de pentest bepaald. In overleg met de opdrachtgever wordt ook de meest passende methode besproken.

Het is belangrijk dat helder op papier komt te staan wat het doel is van de pentest en wat de exacte scope is.

7 fasen van een penetratietest

Fase 1 – Intelligence Gathering: Deze fase bestaat uit het verzamelen van zoveel mogelijk informatie uit beschikbare bronnen. Dit kunnen openbare bronnen (OSINT) zijn en informatie afkomstig van de klant. Door de klant kan informatie worden aangeleverd zoals een overzicht van het ICT landschap en een IP nummerplan.

Fase 2 – Threat Modeling: Gedurende deze fase wordt de informatie georganiseerd en er wordt vastgesteld welke informatie relevant is voor de penetratietest. U kunt hierbij denken aan het identificeren van waardevolle informatie, uitdenken van een aanvalsmethodiek en onderzoeken van de bedreigingen.

Fase 3 – Vulnerability Analysis: Nadat alle informatie is verzameld, wordt er gezocht naar kwetsbaarheden in systemen en applicaties. Er wordt hierbij gebruik gemaakt van gereedschappen die automatisch zoeken naar kwetsbaarheden. Daarnaast wordt er door een ethische hacker op een creatieve wijze handmatig gezocht en gekeken naar (mogelijke) kwetsbaarheden. Tijdens deze fase wordt er gebruik gemaakt van diverse internationale standaarden zoals OWASP Top 10, OSTMM en OWASP MSTG.

Fase 4 – Exploitation: Tijdens de exploitation fase is het doel toegang verkrijgen tot het systeem. De reeds verzamelde informatie wordt gebruikt om op een zorgvuldige wijze aanvallen uit te voeren. Deze aanvallen hebben als doel om de geïdentificeerde kwetsbaarheden te bevestigen.

Fase 5 – Post-Exploitation: In deze fase wordt er vastgesteld wat de waarde is van het gecompromitteerde systeem. Dit is afhankelijk van welke data is gevonden en of deze bruikbaar is om het netwerk verder te compromitteren.

Fase 6 – Reporting: Alle bevindingen zullen worden samengebracht in een compleet en helder uitgewerkt rapport. Dit rapport bevat een beschrijving van de bevindingen, een scoresysteem (CVSS) waarbij de kwetsbaarheden een classificatie krijgen, de mogelijke impact en aanbeveling die uw organisatie helpt met het oplossen van de gevonden kwetsbaarheden.

Fase 7 – Re-audit: Op basis van de aanbevelingen kunnen de gevonden kwetsbaarheden door uw eigen organisatie (of externe partij) worden opgelost. Zodra de kwetsbaarheden zijn opgelost, kan via een re-audit worden onderzocht en gerapporteerd of de kwetsbaarheden daadwerkelijk zijn opgelost.

Soorten penetratietesten

Om technische beveiligingsrisico’s of misbruik van een IT-infrastructuur, website, (mobiele) applicatie of koppeling(en) in kaart te brengen, zijn er ruwweg drie soorten pentesten die uitgevoerd kunnen worden. De verschillende soorten aanvalsscenario’s die mogelijk aan bod komen tijdens de pentest zijn de Black Box, Grey Box en White Box. Hieronder worden de aanvalsscenario’s toegelicht.

Black Box pentest

Een Black Box audit kan vergeleken worden met een echte aanval, zoals hackers deze zouden uitvoeren. Er is vooraf geen informatie gedeeld door de opdrachtgever. De ethische hackers brengen met behulp van een open bronnen onderzoek (OSINT) de omgeving in kaart en gaan op zoek naar kwetsbaarheden.

Grey Box pentest

Bij deze pentest sporen ethisch hackers met én zonder informatie kwetsbaarheden in uw (web) applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps op. De combinatie van beide aanvalsscenario’s geeft een zo compleet mogelijk beeld van de technische weerbaarheid van uw digitale omgeving.

White Box pentest

Bij een White Box audit wordt vooraf alle informatie verstrekt om gericht op zoek te gaan naar kwetsbaarheden. Denk hierbij aan source code, gedefinieerde scope, rollen/rechten matrix en functionaliteiten lijst.

De testmethodieken

Om een succesvolle pentest uit te voeren worden verschillende methoden voor het testen van informatiebeveiliging toegepast. De drie belangrijke standaarden zijn de Penetration Execution Standard (PTES), Open Source Security Testing Methodology Manual (OSSTMM) en het Open Web Application Security Project (OWASP).

Door gebruik te maken van internationale standaarden kan een succesvol en grondig veiligheidsonderzoek uitgevoerd worden en krijgt de klant zekerheid over de volledigheid van de uitgevoerde pentest.

Het Common Vulnerability Scoring System versie 3, afgekort tot het CVSS-risicomodel, wordt gebruikt om de ernst van een kwetsbaarheid te bepalen. Dit model wordt gebruikt om  beveiligingslekken te classificeren. Het scoresysteem werkt op basis van negen verschillende basisparameters, die samen de risico score bepalen. Die basisparameters zijn:

  • Het aanvalsoppervlak waarop de aanval wordt uitgevoerd.
  • De complexiteit van de uitvoering van de aanval, voor een aanvaller.
  • De privileges (zoals bijvoorbeeld accounts) die nodig zijn om de aanval uit te voeren.
  • De vorm van interactie met het slachtoffer die al dan niet nodig is om de aanval uit te voeren.
  • Het beheer van de ‘scope’ door een, al dan niet, externe partij die beslissingen neemt.
  • De gevolgen voor de vertrouwelijkheid van het aangevallen systeem.
  • De gevolgen voor de integriteit van het aangevallen systeem.
  • De impact op de beschikbaarheid van het aangevallen systeem.

Deze parameters vormen samen een score van nul (0) tot tien (10), waarbij tien de hoogste vorm van kwetsbaarheid vertegenwoordigt. Deze scores geven een classificatie op basis van vijf categorieën: informatief, laag, gemiddeld, hoog en kritiek, zoals te zien is in de tabel.

Vervolgens zal aan de hand van input van de opdrachtgever een CIA bepaling worden toegevoegd. De CIA bepaling past de CVVS score aan naar de weging van de opdrachtgever. Het gaat om de wegingen op basis van de volgende onderdelen:

  • vertrouwelijkheid
  • integriteit
  • beschikbaarheid

Per onderdeel kunnen de volgende waarden worden toegewezen:

  • Hoog: Het aantasten van de vertrouwelijkheid, integriteit en de beschikbaarheid heeft rampzalige gevolgen voor de organisatie.
  • Gemiddeld: Het aantasten van de vertrouwelijkheid, integriteit en de beschikbaarheid heeft serieuze gevolgen voor de organisatie.
  • Laag: Het aantasten van de vertrouwelijkheid, integriteit en de beschikbaarheid heeft beperkte gevolgen voor de organisatie.

Waarom een Pentest uitvoeren?

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) in werking getreden, waarin voorgeschreven staat dat persoonsgegevens beschermd moeten worden tegen lekken en misbruik.

Door passende technische en organisatorische maatregelen te nemen, kunnen persoonsgegevens worden beschermd. Een pentest behoort tot die passende maatregelen omdat het inzichtelijk maakt wat de risico’s en kwetsbaarheden zijn van de onderzochte omgevingen. Hierbij wordt ook gecontroleerd of (bedrijfs)gevoelige informatie goed beveiligd is.

Aan de hand van de adviezen uit een pentest kunnen risico’s en kwetsbaarheden verminderd worden en kan een organisatie haar beveiliging naar een hoger niveau brengen.

Wil je meer weten over pentesten?

Bond for web solutions kan helpen bij het uitvoeren van een pentest. Daarvoor werken wij samen met verschillende marktpartijen. Deze specialisten hebben alle kennis in huis en kunnen kwetsbaarheiden op een zorgvuldige manier aan het licht brengen.

Wilt u meer informatie over het uitvoeren van een pentest? Neem dan gerust contact met ons op. Vraag naar Aranka van der Zwaard of Rodien Blindeling.

In gesprek

Blijf op de hoogte van actuele gebeurtenissen op het gebied van platformen, digitalisering en veiligheid.

Schrijf in