Aanpak

Op basis van de verkregen informatie uit de aanvraag wordt de penetratietest uitgevoerd zonder inloggegevens vanaf Internet (black box scenario) of met gegevens (grey box of white box). Bij een Black Box scenario beschikt AuditConnect over minimale informatie over de te testen doelen. Binnen een gegeven hoeveelheid tijd (time-box) brengen wij, als ervaren hacker, zoveel mogelijk zwakke plekken in kaart. Bij dit scenario kijkt AuditConnect naar:

  • Webserver en het operating systeem;
  • Inhoud van de website.

De penetratietest geeft antwoord op de volgende vragen:

  • Is het mogelijk om de website te manipuleren?
  • Is het mogelijk om ongeautoriseerd toegang tot informatie of informatiesystemen op het interne netwerk van buitenaf (Internet) te verkrijgen?

Fasering

AuditConnect hanteert voor de pentest een aanpak die in de praktijk al vele malen met succes is toegepast. Met deze aanpak is AuditConnect in staat niet alleen het project efficiënt uit te voeren maar ook snel resultaten te boeken. In essentie bestaat de fasering van het project uit vier fasen:



De verschillende fasen van de pentest worden hieronder op hoofdlijnen uitgewerkt. Per fase geven we hierna een toelichting en wordt het ‘resultaat’ beschreven.

Fase 1: Voorbereiding

In deze fase maakt AuditConnect in overleg met u een planning van de uit te voeren werkzaamheden en worden concrete werkafspraken gemaakt. In deze fase wordt eventueel verdere informatie bestudeerd over de achterliggende infrastructuur. Een belangrijk onderdeel van deze fase is dat alle benodigdheden en randvoorwaarden voor de penetratietest in onderling overleg worden geregeld.

De benodigdheden zijn:

  • URL en IP-adres van de websites;
  • Getekende vrijwaringsverklaring van u;
  • Whitelisting van netwerk ranges van AuditConnect.

Resultaat: definitieve planning en een overzicht van de infrastructuur.

Fase 2: Detectie en analyse

Na een verkennende inventarisatie van de omgeving op basis van publieke informatie zoals te vinden in zoekmachines, domein- en IP-registratie wordt een geautomatiseerde kwetsbaarhedenscan op twee niveaus uitgevoerd:

  • Webserver
    Hiermee wordt onder andere gezocht naar ontbrekende updates, configuratiefouten, standaard/eenvoudig te raden wachtwoorden en versienummers van gebruikte programmatuur.

  • Web applicatie
    Hiermee wordt de webapplicatie inhoudelijk gescand op bekende kwetsbaarheden binnen de applicatie zelf zoals vormen van SQL-, URL- en HTML-injectie, de loginmechaniek, het sessie-management, het zoeken naar kwetsbare URL’s, standaard/eenvoudig te raden wachtwoorden, het ‘lekken’ van belangrijke informatie en de wijze van foutafhandeling.

Nadat de verzamelde informatie is geanalyseerd worden aanvullende handmatige tests geselecteerd en uitgevoerd die het gedrag van de applicatie en infrastructuur in kaart brengen. Voor websites test AuditConnect in ieder geval de meest voorkomende kwetsbaarheden op het gebied van webapplicaties zoals gedefinieerd in het Raamwerk Beveiliging Webapplicaties opgesteld het Nationaal Cyber Security Centrum (NCSC)

Op basis van de verzamelde informatie wordt bekeken op welke manieren succesvol toegang kan worden verkregen: de daadwerkelijke hack.

AuditConnect maakt in deze fase gebruik van diverse (technische) hulpmiddelen. Daarnaast wordt van bronnen binnen AuditConnect en daar buiten (internet) gebruik gemaakt. Enkele voorbeelden van technische hulpmiddelen zijn:

  • Tenable Nessus Professional
  • Rapid7 Nexpose
  • Metasploit Pro
  • Nikto
  • BurpSuite Pro

Afhankelijk van de uitkomst van de analyse wordt doorgegaan met de volgende fase, of wordt aanvullende detectie gedaan.

Resultaat: overzicht zwakheden.

Fase 3: Misbruik

Getracht wordt de mogelijke zwakheden in de beveiliging van aan de website gekoppelde systemen te misbruiken om toegang tot de achterliggende systemen en/of gegevens te krijgen (‘daadwerkelijk inbreken’). Hierbij maken de experts van AuditConnect veelvuldig gebruik van zelf ontwikkelde hulpmiddelen. De uitkomsten van deze pogingen geven aanleiding tot nieuwe detectiepogingen en worden meegenomen in de analysefase van de volgende iteratie.

Resultaat: bevindingen misbruikpogingen

Fase 4: Rapportage en afstemming

Op basis van de testresultaten wordt een schriftelijke rapportage opgesteld op grond waarvan u inzicht verkrijgt in mogelijke kwetsbaarheden. De rapportage zal niet alleen fouten vermelden maar tevens risico inschattingen, oplossingen en toelichtingen geven. Op grond van deze rapportage is u in staat om de gevonden kwetsbaarheden te mitigeren.

Naast de rapportage wordt de mogelijkheid geboden om de testresultaten mondeling (maximaal twee uur) toe te lichten. De tester(s) zijn beschikbaar voor terugkoppeling en navraag.

Naast bovenstaande dient de rapportage onderstaande onderdelen te vermelden:

  • De gebruikte applicaties (inclusief versienummering);
  • De parameters, gebruikt voor de test;
  • Het tijdstip waarop de testen zijn uitgevoerd;
  • De IP-adressen vanaf waar de testen zijn uitgevoerd;

Resultaat: rapportage

Uitvoering van de pentest in detail

Fase 1: Network Footprinting (Reconnaissance)

De pentester probeert zo veel mogelijk openbare informatie te verkrijgen over de targetomgeving. Reconnaissance kan twee vormen aannemen: actief en passief. Meestal wordt er gekozen voor passief. Een passieve reconnaissance is altijd het beste startpunt omdat deze in de regel onder de radar blijft van bijvoorbeeld intrusion detection systemen. Dit betekent dat openbaar beschikbare informatie wordt opgezocht over de targetorganisatie met behulp van een webbrowser, newsgroups, DNS registraties, etc.

Fase 2: Discovery & Probing

Extern, op afstand, wordt nagegaan welke operating systems aanwezig zijn in de targetorganisatie. Ook applicaties worden herkend en kenmerken hierover worden vergaard. Dit heet ‘fingerprinting’. Er bestaan twee verschillende manieren om fingerprinting uit te voeren: passief en actief. Dit is ‘noisy’ en vereist dat packets verzonden worden naar een host (computerserver) en wordt gewacht op een ‘reply’, of juist de afwezigheid daarvan. Applicaties in de targetomgeving kunnen bepaald worden op basis van een open port op een host in die targetomgeving. Door port scanning is het mogelijk om een beeld te vormen van welke operating systems en applicaties draaien in de targetomgeving om zodoende de vervolgstappen van de Pentest nader toe te spitsen op deze systemen.

Fase 3: Enumeration

Na het beeld te hebben verkregen wat draait op de targetomgeving wordt dieper hierop ingezoomd. Complete overzichten worden verkregen van operating systems en applicaties tot op bijvoorbeeld versieniveau.

Fase 4: Vulnerability Assessment

Operating systems en applicaties kennen openbaar bekende kwetsbaarheden. Deze worden opgezocht en hiermee wordt de Pentest verder uitgevoerd om daarmee weer na te gaan of toegang kan worden verkregen tot operating systems en applicaties.

Fase 5: Penetration

Daadwerkelijk een aangetroffen kwetsbaarheid gebruiken om toegang te verkrijgen, heet een ‘exploit’. In deze fase vindt toegangsverschaffing plaats. Feitelijk wordt een ‘stepping stone’ opgebouwd. Een stepping stone is een vervolgaanval, ofwel ketenaanval. In een serie van eerder gehackte machines komt een pentester uiteindelijk bij het doel. Een stepping stone is ook een hulpmiddel om de eigen ware identiteit te verbergen.

Fase 6: Testing

Uitgevoerd worden specifieke acties zoals password cracking, Cisco (indien aanwezig) testing, Citrix (indien aanwezig) testing, in kaart brengen van het interne netwerk, server specifieke tests (gericht op bijvoorbeeld databaseservers, mailservers en webservers), etc.

Fase 7: Rapportage

Alle data wordt gecontroleerd op “False-positives”. Indien de bevinding geen False-positive is wordt deze in het rapport gerapporteerd. Tevens zal er gekeken worden wat gedaan moet worden om deze bevinding op te lossen. Hier zal in het rapport een advies over worden gedaan.

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo RoutIT - referentie RoutIT - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect