Hier zijn wij nog hard aan het werk!

Kan ik personeel thuis veilig laten inloggen op het netwerk?

Hier zijn wij nog hard aan het werk!

Wat kan ik doen om een hack te voorkomen?

Hier zijn wij nog hard aan het werk!

Wat kan ik doen om een hack te voorkomen?

Hier zijn wij nog hard aan het werk!

IT-Security

Pentesting

Pentesting van netwerken en applicaties

Pentesting of een Vulnerability Assessment?

Ethische hackers kunnen organisaties helpen bij het inzichtelijk krijgen van potentiële risico’s door de identificatie van aanwezige kwetsbaarheden/zwakheden binnen een overeengekomen scope. Pentesting is een van de mogelijke vormen van een dergelijk assessment.

Helaas worden er in de markt verschillende definities toegepast. Dit heeft als gevolg dat testen door verschillende organisaties verschillend uitgevoerd kunnen worden. Ook zijn de rapportages vaak inhoudelijk lastig vergelijkbaar door verschil in uitvoer.

Een vulnerability assessment is een fundamenteel andere dienst dan een pentest, maar veelal is er wel enige overlap waardoor verwarring snel kan ontstaan. Diensten worden daarbij ook soms gecombineerd aangeboden. Om het nog makkelijker te maken zijn er ook nog verschillende testvormen bedacht (blackbox, whitebox, etc.). Deze bepalen hoeveel en het soort informatie (zoals bijvoorbeeld inloggegevens) vooraf worden gedeeld.

Gelukkig bestaan er wel (internationale) standaarden en handreikingen. Voorbeelden hiervan zijn: Open Source Security Testing Methodology Manual (OSSTMM), Penetration Testing Guidance van de PCI Security Standards Council, Penetration Testing Execution Standard (PTES) en NIST SP 800-115.

Vulnerability Assessment

Bij een vulnerability assessment worden (bekende) kwetsbaarheden/zwakheden geïdentificeerd binnen alle toegankelijke diensten in de overeengekomen scope. Het assessment en de rapportage gaan dus in de breedte en blijven hierdoor oppervlakkig. De bevindingen worden niet geëxploiteerd met het doel om (verder) binnen te dringen.

Pentesting

Bij een pentest worden ook kwetsbaarheden geïdentificeerd, maar hierbij wordt juist de dietpe in gegaan met het doel onderzoeksvragen te beantwoorden. Dat wil zeggen dat exploits actief worden gebruikt om (verder) binnen te dringen. De identificatie van kwetsbaarheden aan de oppervlakte stopt zodra lateraal bewogen kan worden. Bevindingen die niet hebben bijgedragen aan het exploitatiepad worden niet (uitgebreid) gerapporteerd.

Verschillen

Belangrijke verschillen tussen de twee diensten zijn de balans tussen diepte/breedte en de aanwezigheid van een onderzoeksvraag. Microway helpt je graag met het vaststellen van jouw behoefte en geeft de juiste toelichting. Neem contact met ons op voor meer informatie of een nadere kennismaking.