Penetration testing

Een penetratietest (pentest) is een type security assessment waarbij er meestal een onderzoeksvraag is. Met een intern bedrijfsnetwerk als scope, is deze vraag bijvoorbeeld: "In hoeverre kan een aanvaller digitaal binnendringen in onze organisatie?".

Diverse technieken en tactieken worden aangewend om binnen relatief korte tijd een gedegen antwoord te kunnen geven op de onderzoeksvraag. Kwetsbaarheden die geïdentificeerd en uitgebuit zijn tijdens dit proces worden beschreven in een rapportage waarbij gefocust wordt op de (technische) impact voor uw organisatie.

Vragen of een offerte aanvragen?

Er zijn diverse type pentests. De verschillen tussen de types zijn grotendeels gerelateerd aan de (technische) informatie die vooraf verstrekt wordt. In de markt worden helaas geen eenduidige definities toegepast. Wij hanteren de volgende definities:

Black box pentest

Black box pentest

Zonder (aangeleverde) authenticatiemiddelen (inloggegevens) en/of technische informatie zoals documentatie.

Grey box pentest

Grey box pentest

Met authenticatiemiddelen (inloggegevens) voor een of meerdere gebruikersrollen en/of technische informatie zoals documentatie.

Bij scenario gebaseerde pentests en het scenario dat inloggegevens verkregen zijn (assumed breach) door bijvoorbeeld een succesvolle social engineering-aanval (zoals phishing), is er ook sprake van het gray box perspectief.

White box pentest

White box pentest

Met ondersteunende toegang tot relevante configuratie en/of broncode. Veelal gecombineerd met authenticatiemiddelen (inloggegevens) voor een of meerdere gebruikersrollen en/of gedetailleerde (ontwerp)documentatie.


Waarom een pentest?

Een pentest geeft waardevolle inzichten in technische onvolkomenheden, verbetermogelijkheden en risico's. De toename van het veiligheidsniveau blijft echter afhankelijk van de opvolging van de uitkomsten. Hierdoor wordt veelal de meeste winst bewerkstelligd als er een intrinsieke motivatie aan ten grondslag ligt. Het periodiek uitvoeren van securitytesten heeft dan ook een plek in een volwassen informatiebeveiligingsbeleid.

Daarnaast kunnen er contractuele verplichtingen tot securitytesten bestaan en/of dit voorgeschreven zijn door geldende wet- en regelgeving. DigiD aansluithouders en MedMij-deelnemers moeten bijvoorbeeld voldoen aan normen welke pentests voorschrijven. Zo ook in de Payment Card Industry Data Security Standard (PCI DSS) dat van toepassing is voor websites die zelfstandig creditcardgegevens verwerken. Een ander voorbeeld is de Baseline Informatiebeveiliging Overheid (BIO) die van toepassing is voor alle overheidslagen.