Vulnerability assessments
Door de uitkomsten van een vulnerability assessment leert u welke verbeterpunten er zijn.
Meer info
Penetration testing
Een pentest is een type security assessment waarbij onderzoeksvragen beantwoord worden.
Meer infoType security assessments
De kenmerken/verschillen van veel voorkomende types security assessments worden hieronder weergegeven. De toe te passen variant is grotendeels afhankelijk van het volwassenheidsniveau, maar ook van het gewenste inzicht.
ThreatLabs geeft u hierover graag advies op maat.
| Vulnerability scan | Vulnerability assessment | Penetratietest | Broncodereview | Red teaming | |
|---|---|---|---|---|---|
| Identificatie | Geautomatiseerd | Handmatig | Handmatig | Handmatig | Handmatig |
| False positives | |||||
| Exploitatie | |||||
| Lateral movement | |||||
| Focus | Breedte | Breedte over diepte | Diepte over breedte | Grondig | Diepte (bedrijfsprocessen) |
| Doorlooptijd |
Werkwijze
De standaard aanpak van ThreatLabs is gebaseerd op the Penetration Testing Execution Standard (PTES) zoals hieronder beschreven:
In het voortraject dienen verschillende keuzes gemaakt te worden om de beoogde doelen te behalen.
Hierbij valt te denken aan:
- Het doel en de scope van het assessment
- Een passend type securitytest
- De uitgangssituatie in combinatie met het niveau van informatieverstrekking
- De concrete onderzoeksvragen
- Optioneel de frequentie
Daarnaast is het ook van belang om (contractueel) toestemming te verkrijgen van eventuele (externe) systeemeigenaren.
Op basis van de verstrekte informatie wordt een passende offerte opgesteld. Integraal onderdeel hiervan is een vrijwaringsverklaring.
Wanneer de offerte akkoord is, zal voorafgaand aan de uitvoering een (telefonische) kick-off meeting plaatsvinden om het assessment af te stemmen en de planning door te nemen. Daarbij worden minimaal de gegevens van de (directe) contactpersonen uitgewisseld.
Diverse Open Source Intelligence (OSINT) bronnen kunnen voorafgaand en/of gedurende het assessment geraadpleegd worden om (publieke) informatie te verkrijgen over de scope of betrokken organisaties. Dergelijke informatie kan de uitvoer van het assessment efficiënter maken en/of helpen bij het identificatieproces. Zo kan er bijvoorbeeld informatie op het internet gepubliceerd zijn over kwetsbaarheden in een framework dat binnen de scope van het assessment toegepast is.
Een actueel- en toepasselijk dreigingsbeeld wordt gebruikt om het identificatieproces zo doelgericht mogelijk te maken. Dit wordt later ook gebruikt om bevindingen te voorzien van een aanbevolen prioriteit.
Kwetsbaarheden en/of zwakheden worden met diverse actieve en passieve technieken geïdentificeerd. Constateringen worden altijd handmatig gevalideerd en de (technische) severity wordt met behulp van het Common Vulnerability Scoring System (CVSS) ingeschat.
Afhankelijk van het type securitytest worden exploitatiepogingen geïnitieerd om de gestelde doelen te behalen of om de aanwezigheid en impact van kwetsbaarheden praktisch aan te tonen. Bij een pentest worden vervolgens additionele acties zoals bijvoorbeeld lateral movement uitgevoerd om aanvullende toegang in eventuele andere beveiligingslagen te bemachtigen.
Als eindproduct wordt een formele (digitale) rapportage opgeleverd met toepasbare adviezen en technische details van de bevindingen. Desgewenst kunnen de resultaten ook gepresenteerd worden.
Indien gewenst kunt u gebruik maken van ons PTaaS portal.
Uit de uitkomsten kan soms afgeleid worden dat bestaande middelen effectiever ingezet kunnen worden. Er bestaat dan ook mogelijk geen directe noodzaak om nieuwe middelen te introduceren of bestaande te vervangen.