Informatiebeveiliging - Penetratietest laten uitvoeren? - AuditConnect

Penetratietest laten uitvoeren?

AuditConnect biedt experts die op korte termijn, professioneel en betaalbaar een Penetratietest (Pentest) voor u kunnen uitvoeren. We zijn een professionele aanbieder en onze ervaren consultants hebben sterke vakkennis, zijn creatief en hanteren diverse methodieken waarmee we Penetratietesten van vele soorten besturingssystemen of applicaties kunnen uitvoeren.

Wilt u een Pentest laten uitvoeren of informatie over deze test? Neem contact op, bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen. AuditConnect helpt u graag verder!

Wat is een Pentest?

Een Penetratietest of Pentest is een controle van een of meer computersystemen op kwetsbaarheden. Bij de Pentest wordt gekeken of het mogelijk is om deze kwetsbaarheden ook daadwerkelijk te gebruiken om de beveiliging op deze systemen te omzeilen, in te breken of te doorbreken. Dit wordt gedaan om inzicht te krijgen in de effectiviteit van het (beveiligings-) systeem en om verbeterpunten te definiëren.

Een Penetratietest vindt om legitieme redenen plaats, met toestemming van de eigenaren van de systemen die gecontroleerd worden, met als doel de systemen juist beter te beveiligen. Een manier waarop dit kan gebeuren is bijvoorbeeld door een team van beveiligingsspecialisten (ethical hackers) te laten proberen om met toestemming van de systeemeigenaar informatie uit het (beveiligde) systeem te benaderen zonder de vereiste toegangsgegevens.

Waarom een Pentest uitvoeren?

Het doel van een Pentest is om inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem en om verbeteringen te definiëren voor de beveiliging -met andere woorden, de risico’s en kwetsbaarheden te bestrijden.

De afgelopen jaren ontstaat bij bedrijven steeds meer de behoefte om hun IT-systemen te onderwerpen aan een zogenaamde Penetratietest (hierna spreken we over de: 'Pentest'). Het uitvoeren van een Pentest kan een waardevolle aanvulling zijn om de mate van beveiliging van informatiesystemen te beoordelen.

AuditConnect en Pentesten

AuditConnect heeft goede kennis van en gedegen ervaring met het uitvoeren van Pentesten. Aangezien doorgaans een bedrijf zelf vaak niet over de noodzakelijk expertise en/of tijd beschikt om zelf een Pentest uit te voeren wordt deze daarom vaak uitbesteed en AuditConnect is daarvoor de juiste partner. Met informatie wil AuditConnect u als opdrachtgever inhoudelijke hulp geven alsmede illustreren hoe een Pentest-traject kan verlopen.

Bij het uitbesteding vraagstuk zal de opdrachtgever een aantal keuzes moeten maken. Voor het maken van deze keuzes kan AuditConnect u adviseren en informeren. Zodanig dat u met de juiste informatie weet hoe en wanneer u een gedegen Penetratietest kan laten uitvoeren.

Soorten Pentest

Bij een Penetratietest hoort vaak veel jargon. Vooral de "boxen" zullen bij een gesprek over Pentesting snel op tafel komen: men spreekt van black box tests, grey box, white box en soms zelfs van crystal box en time/budget box tests. Het verschil in het soort test is gerelateerd aan de hoeveelheid kennis en achtergrondinformatie die de tester krijgt. Onderstaand geven we u een korte beschrijving.

  • Black box; een tester heeft minimale voorkennis;
  • White box; een tester krijgt voorafgaande aan de test inzicht in alle aspecten van de systeemarchitectuur;
  • Grey box; tester beschikt een over gedeeltelijke informatie. Dat kan bijvoorbeeld een inlogaccount zijn om te testen of het voor gebruikers met een werkend wachtwoord mogelijk is om misbruik te maken. Bij black box komt de aanvaller wellicht niet langs het inlogscherm en heeft dan niet de gelegenheid of de tijd om ook dit soort aspecten nog te testen;
  • Crystal box; de tester beschikt over de broncode van de applicatie en heeft toegang tot alle mogelijke configuratie-informatie;
  • Time box (of budget box); een test waarbij de doorlooptijd of de kosten bepalen wanneer de test ophoudt. Bijvoorbeeld: hoe ver kan een team ervaren Pentesters in drie dagen komen?

Naast de hoeveelheid informatie die de testers ter beschikking hebben, moet er ook een keuze worden gemaakt over de informatie die het eigen personeel krijgt: worden ze op de hoogte gebracht dat een Penetratietest uitgevoerd gaat worden of blijven ze in het ongewisse?

Voor het verkrijgen van informatie kunnen de professionele testers van AuditConnect publiekelijk beschikbare bronnen raadplegen (zoals Internetpagina’s), maar het is ook mogelijk om 'social engineering' toe te passen. Hierbij wordt geprobeerd om informatie te krijgen van medewerkers, door bijvoorbeeld de helpdesk te bellen, door een medewerker om zijn wachtwoord te vragen of door de portier om te praten om het gebouw binnen te komen. Afhankelijk van de doelstelling van de Penetratietest kan social engineering binnen de scope vallen.

Opdrachtomschrijving

Een goed begin in de offerteaanvraag is de opdrachtomschrijving met daarin een heldere onderzoeksvraag. AuditConnect adviseert u uiteraard graag indien nodig met het helder krijgen van de onderzoeksvraag. Hierin kunnen de volgende vragen helpen: Welke informatie moet de Pentest opleveren; welke vraag moet beantwoord worden?

Het is voor beide partijen van belang dat er duidelijk is wat er van de professionele testers van AuditConnect wordt verwacht en wat u als klant in de rapportage wilt terugvinden. Welke vraag wilt u beantwoord hebben met deze test? Met andere woorden, naar welke informatie bent u uiteindelijk op zoek, welk doel heeft u voor ogen?

Voorbeelden van onderzoeksvragen zijn:

  • Welke kwetsbaarheden bestaan er in de configuratie en implementatie van systeem x?
  • Zijn er naast de dreigingen die u al geïdentificeerd heeft nog onvoorziene dreigingen bij het gebruik van applicatie y?
  • Hoe ver kan een (ervaren) hacker binnendringen via het internet via de bedrijfswebsite als hij daarvoor maximaal twee weken de tijd heeft?

Wellicht weet u als opdrachtgever al een idee heeft hoe de test er inhoudelijk in grote lijnen uit moet zien? Dan kan het helpen om dat ook te schetsen. AuditConnect kan u vanuit de ervaringen vaak ook adviseren over deze voorgestelde lijnen en alternatieven bieden om de vraag zo goed mogelijk te beantwoorden.

Als een aanbesteding- of inkooptraject ook voor kleine Pentests in uw organisatie veel tijd kost, kunt u ook bij de initiële offerteaanvraag alvast een latere her-test aanvragen. Een her-test wordt vaak gebruikt om te controleren of eerder geconstateerde kwetsbaarheden daadwerkelijk zijn opgelost.

Verder bevat de opdrachtomschrijving een overzicht van de informatie die de leveranciers ter beschikking stellen voorafgaand aan de test.

Een Pentest laten uitvoeren is voor veel organisaties vaak niet eenvoudig en levert in productieomgevingen ook risico’s op. Voor een organisatie moet bij de uitvoering de risico’s minimaal zijn, de kwaliteit van de test optimaal en de resultaten dienen zodanig te worden gepresenteerd zodat de onderkende kwetsbaarheden efficiënt zijn op te lossen.

De scope van de test

De scope of de inkadering van de test gaat vooral om de vraag: Wat is het object van onderzoek? Een noodzakelijk item voor een goede test is dat het duidelijk moet zijn voor de professionele tester om welke omgeving het gaat; de hoeveel systemen, apparaten, gebouwen en dergelijke die er getest moeten worden en/of zijn ze vergelijkbaar? Als alle 100 werkstations er in principe hetzelfde uitzien, kan een steekproef van 2 of 3 systemen testen efficiënter zijn. Als u van het te testen object een ontwikkel-, test- en/of acceptatieomgevingen heeft, dan kan het wellicht een optie zijn om één van die omgevingen voor de duur van de Pentest precies zo in te richten als de productieomgeving en de test daarop laten plaatsvinden.

Wat wordt de diepgang van de Penetratietest? Valt bijvoorbeeld het gebruiken van exploits binnen scope of niet? Een exploit is een stukje software of hoeveelheid gegevens, die gebruikmaakt van een bug, glitch of kwetsbaarheid in de software van een apparaat om onverwacht en door de eigenaar van het apparaat meestal ongewenst gedrag te veroorzaken op de software of hardware van dat (meestal geautomatiseerde) elektronische apparaat. (Het gaat dan vaak over het verkrijgen van controle over een computersysteem) Kortweg is het gebruikmaken van een bug in (de beveiliging van) een besturingssysteem of in specifieke cliënt programmatuur die door hackers kan worden geëxploiteerd. Exploits kunnen enerzijds dienen als ‘bewijs’ dat een gevonden kwetsbaarheid echt te misbruiken valt, maar kunnen ook de integriteit en beschikbaarheid van een systeem in gevaar brengen. Als het gebruik van een exploits weinig toegevoegde waarde biedt, is het beter om het gebruik ervan expliciet uit te sluiten.

Planning van de test

Een Pentest is het meest effectief en efficiënt als ze ruim van tevoren gepland wordt. Namelijk voor het uitvoeren van de Pentest is het belangrijk rekening met de volgende aspecten:

  • Zijn er momenten waarop er niet getest mag worden?
  • Vermijd kritieke periodes, zoals een Pentest van een salaris verwerkend systeem aan het eind van de maand;
  • Doe geen Pentest als een systeem tijdens de test veranderingen ondergaat;
  • Houd rekening met een doorlooptijd van een maand tussen de offertebeoordeling en de start van de test;
  • Wees duidelijk over een interne planning, doorlooptijd en wanneer de opdracht uiterlijk afgerond moet zijn (harde deadline of niet)?

Rapportage

De resultaten van de Pentest uitgevoerd door AuditConnect worden door ons vastgelegd in de vorm van een rapportage. Globaal rapporteren wij over de onderstaande aspecten:

Managementsamenvatting met belangrijkste bevindingen:

  • De gebruikte applicaties (inclusief versienummer)
  • De parameters die zijn gebruikt bij de tests
  • Het tijdstip waarop de test is uitgevoerd
  • Het IP-adres waarvandaan de test is uitgevoerd
  • Een toelichting per gevonden verbeterpunt


Uiteraard zijn hier andere items aan toe te voegen, dit varieert m.b.t. het soort test dat u als klant wenst dat er wordt uitgevoerd en deze zijn te lezen in de opdrachtomschrijving zoals u die met AuditConnect formeel heeft afgesproken voorafgaand aan de test.

De testmethodieken

De methodieken van AuditConnect zijn gebaseerd op de Open Source Security Testing Methodology Manual (OSSTMM), Open Web Application Security Project (OWASP) of de NIST Guideline on Network Security Testing.

Strafrecht en vrijwaringverklaringen

Naast de voornoemde technische en tactische aspecten van een Penetratietest zijn er enkele juridische dimensies die aandacht vereisen. Sinds november 2006 omschrijft het wetboek van Strafvordering het delict computervredebreuk als volgt:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan.

Essentieel in deze omschrijving zijn de voorwaarden voor opzettelijkheid en wederrechtelijkheid. Met wederrechtelijkheid wordt bedoeld dat de handeling in strijd moet zijn met het recht. Dit betekent onder andere dat er geen toestemming is gegeven door de rechtmatige eigenaar van de geautomatiseerde werken. Met opzet wordt bedoeld dat er sprake moet zijn van het oogmerk om wederrechtelijk binnen te dringen.

In het geval van een Penetratietest zal er in beginsel altijd sprake zijn van het met opzet binnendringen in een (beveiligd) systeem zonder de vereiste toegangsgegevens, dit is immers het achterliggende doel van de test! AuditConnect zal u daarom - voorafgaand aan het uitvoeren van de Pentest - vragen een vrijwaringsverklaring te ondertekenen, om zo de wederrechtelijkheid aan de daad van de professionele tester te ontnemen.

Audit, code review en risicoanalyse

De term audit wordt ook wel gebruikt om Penetratietests aan te duiden. Toch bestaan er enkele wezenlijke verschillen. Een audit is een formeel proces, dat start met een vastgesteld normenkader waarvan de auditor opzet, bestaan en werking kan toetsen. Een audit levert dan ook een volledig beeld op ten aanzien van het vooraf overeengekomen normenkader. De betekenis van een audit hangt dan ook sterk samen met de kwaliteit van het normenkader.

Bij een Penetratietest hoort geen normenkader; wel zal een professionele aanbieder een methodiek hebben volgens welke een Penetratietest van een bepaald soort besturingssysteem of applicatie wordt aangepakt, maar er wordt niet getoetst aan de hand van een normenkader. Creativiteit en vakkennis van de individuele tester speelt een veel grotere rol.

Bij een code review wordt de broncode van een applicatie onderzocht. Een code review is een goed middel om kwetsbaarheden in een applicatie te vinden. Omdat een code review en een Penetratietest vanuit verschillende perspectieven werken en geen overlap hebben is het goed mogelijk om te tegelijkertijd uit te gevoerd.

Een risicoanalyse brengt kwetsbaarheden, bedreigingen en risico’s in kaart. Bij de analyse wordt een inschatting gemaakt van de dreigingskans en de impact ervan. Een risicoanalyse heeft meestal een hoger abstractieniveau dan een Penetratietest. Vooral daarom wordt vaak eerst een risicoanalyse uitgevoerd waaruit blijkt welke kwetsbaarheden in een systeem een groot risico zijn, om vervolgens een Penetratietest uit te voeren die de kwetsbaarheden in kaart brengt en daarvoor de mogelijke oplossingen.

Andere termen voor Pentesting

In de wereld van Penetratietests worden ook andere benamingen gebruikt zoals; ethical hacking, legal hacking, hacktest, security scan, vulnerability assessment en diverse samenstellingen van deze termen. De termen komen min of meer op hetzelfde neer. In dit artikel gebruiken we alleen de term Pentest.

Welke audit of onderzoek?

Specifiek op het gebied van audits is bijvoorbeeld de DigiD-audit of ISAE 3402 of meer algemene IT-audits zoals de Security audit en de Privacy audit. AuditConnect heeft een breed scala aan audits en onderzoeken die ze voor u kan verzorgen, TPM, SSAE 16, Pentesten, Ethical hacker, ISAE 3000, System audit, Continuïteits-audit, Informatiebeveiliging, EDP-audit, ISO 27001, ISO 27002, ISO 27005, Informatiebeleid, Implementatie en auditing van General IT Controls en IT-audit bij gemeenten. Hiernaast vindt u een overzicht van onze diensten met meer informatie per onderzoek/audit.

Wilt u een advies, Pentest, onderzoek of audit uit laten voeren?

AuditConnect biedt experts die op korte termijn, professioneel, duidelijke en betaalbare audits, onderzoeken en Penetratietesten kunnen uitvoeren. Wij zijn aangesloten bij de Nederlandse Organisatie van Register EDP-auditros (NOREA). Bij een IT-audit beoordelen wij een deel van, of zelfs de complete automatisering binnen uw organisatie en de organisatie van uw automatisering. Vraag vrijblijvend meer informatie aan.

AuditConnect adviseert uw bedrijf graag over de kwaliteit van uw ICT. Hierbij kunt u denken aan onder andere betrouwbaarheid, beschikbaarheid en integriteit. In een algemene ICT-audit voeren wij in een kort tijdsbestek een deskundig, onpartijdig en onafhankelijk onderzoek uit. Zo houden wij uw organisatie een spiegel voor op het gebied van automatisering en bieden we u de instrumenten voor betere prestaties. Een investering die zichzelf terugverdient.

We komen graag met u in contact, bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.

Audit trainingen

Wij geven ook trainingen op het gebied van audits waarin deelnemer via de hands-on oefeningen de essentials van de IT-audit en de werking van de verschillende onderdelen van
IT-governance leren. Onze uitgebreide praktijkervaring heeft geresulteerd in een programma
met de essentiële onderdelen van de IT-audit. De deelnemer is na de training IT-audit Essentials in staat om zelfstandig een IT-audit uit te voeren en te analyseren wanneer een
EDP-auditor moet worden ingeschakeld.

AuditConnect werkt onder andere voor de volgende bedrijven:

logo ActuIT - referentie ActuIT - AuditConnect
Logo Axxerion - Axxerion - AuditConnect
Logo Berkman Trading - Berkman Trading - AuditConnect
logo Connexys - referentie Connexys - AuditConnect
Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect
Gemeente Borne - Gemeente Borne - AuditConnect
Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect
Logo HR2day - HR2day - AuditConnect
INERGY - INERGY - AuditConnect
logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect
logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect
Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect
Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect
logo Caresharing - NEN7510 Caresharing - AuditConnect
Logo Parnassia - Parnassia Groepp - AuditConnect
Logo Progress - Progress - AuditConnect
logo Salure - Salure - AuditConnect
logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect
logo UNI-learning - UNI-Learning - AuditConnect
logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect
VSV Noorderpoort - VSV Noorderpoort - AuditConnect

Meer referenties Cases / referenties - AuditConnect