Partner content
Wat zijn de belangrijkste onderdelen van een Pentest?
Het belangrijkste onderdeel van een Pentest is het identificeren van kwetsbaarheden. De ethic hackers zorgen ervoor dat een systeem grondig wordt uitgepluisd. Ze maken hierbij gebruik van verschillende tools en onderzoeken zo verschillende aspecten van een netwerk – denk aan het gedrag van applicaties en het effect van beveiligingsmaatregelen. Op deze manier krijgt een organisatie een beter overzicht van de risico’s en kan het een aanpak gaan opstellen om de risico’s tegen te gaan.
Pentesten voor veilige websites, applicaties en IT-systemen
Veel mensen zijn zich niet bewust van de gevaren van hackers. Ze denken dat alleen een virusprogramma garantie geeft voor een veilige website. Helaas weten hackers alle programma’s steeds meer te omzeilen. Ze gebruiken steeds slimmere trucjes om toch hun slag te slaan. Gelukkig kunnen Pentesten dit (gedeeltelijk) voorkomen.
Wat zijn Pentesten?
Het woord ‘Pentesten” is een afkorting van “penetratietesten” – of het Engelse “penetration testing”. Tijdens een Pentest gaat een ethic hacker – een hacker met goede bedoelingen – zich verplaatsen in een hacker met slechte bedoelingen. Dit doet hij of zij door ongeautoriseerde toestemming te krijgen tot bepaalde systemen. De ethic hacker past hiervoor verschillende tools en technieken toe, maar moet vooral erg creatief zijn. Bovendien moet hij of zij voorzien zijn van hacking skills.
Een ethic hacker moet toestemming krijgen omdat hij gevoelige informatie kan inzien. Als de hacker geen toestemming krijgt dan wordt het gezien als cybercrime.
Hoe werkt de test?
Als de organisatie toestemming heeft verleend, is het tijd voor de hacker om aan de slag te gaan. Hij of zij probeert op dezelfde wijze als cybercriminelen toegang te krijgen tot systemen. Het doel is om kwetsbaarheden te vinden. Na de Pentesten deelt de hacker zijn of haar bevindingen in een uitgebreid rapportage met de opdrachtgever. De gevonden kwetsbaarheden worden hierin genoemd en uitgebreid beschreven. Door middel van CVSS (Common Vulnerability Scoring System) worden de scores gerankt. Op basis van deze gegevens wordt er gekeken naar de beste aanpak om de problemen te verhelpen en de systemen weer veilig te maken.
Wat is een CVSS?
“CVSS” staat voor “Common Vulnerability Scoring System”. Het systeem wordt gebruikt om een score aan zwakke plekken in software te geven. Hoe hoger de score is, hoe meer risico een organisatie loopt met de zwakke plek. Op deze manier krijgt een organisatie een handig overzicht over welke risico’s het grootst zijn.
Bij de rapportage van Pentesten wordt ook gebruikgemaakt van de afkorting “CVE”, oftewel “Commun Vulnerabilities and Exposures”. Dit is een databank met informatie over kwetsbaarheden in netwerken en IT-systemen. In het geval een IT-systeem een zwakke plek heeft, staat deze beschreven in de CVE. Het kan zijn dat er in het eindrapport verschillende CVE’s staan met een CVSS.
Wat kosten Pentesten?
Voor het uitvoeren van Pentesten kun je onder andere terecht bij Surelock. De kosten van een test bedragen meestal enkele duizenden euro’s. De precieze prijs is afhankelijk van de hoeveelheid werk die volgens de opdrachtgever verricht moet worden. Vooraf wordt er altijd een “Scope” opgesteld, waarin precies staat waarom de Pentesten moeten worden uitgevoerd, op welke punten er gelet moet worden en hoeveel tijd de testen in beslag zullen nemen. Ook de manier waarop de informatie wordt gerapporteerd aan de organisatie wordt hierin vastgelegd. Je ontvangt hier een offerte van en wordt zo nooit verrast door hogere prijzen. Bovendien geven de meeste bedrijven je uitgebreid advies.