Pentest & Vulnerability Scan

Home » Consultancy » Managed Security » Pentest & Vulnerability Scan

Pentest & Vulnerability Scan

Tegenwoordig kan bijna geen enkele organisatie meer zonder IT. Zo maken we gebruik van computers, telefoons en een verscheidenheid aan IoT-devices. Dagelijks worden in deze apparaten kwetsbaarheden gevonden, die consequenties kunnen hebben voor uw organisatie. Is uw IT-infrastructuur beveiligd tegen deze nieuwe kwetsbaarheden? Zijn uw (web)applicaties met klantdata wel up-to-date? En kan bijvoorbeeld uw nieuwe intelligente koelkast of smartwatch eigenlijk gehackt worden, waardoor cyber criminelen toegang krijgen tot waardevolle informatie? Alle theoretische modellen ten spijt, is er maar één manier om werkelijk te bewijzen dat u weerbaar bent tegen nieuwe aanvallen. Periodiek een Vulnerability Scan en Pentest (ookwel Penetratietest genoemd) laten uitvoeren.

Verschillen Vulnerability Scan en Pentest

Om bovenstaande vragen te beantwoorden en een betrouwbaar inzicht te krijgen in de staat van beveiliging van uw IT, bieden wij twee diensten aan: De Vulnerability Scan en de Pentest.

Vulnerability Scan

Bij een Vulnerability Scan (ook wel vulnerability assessment of kwetsbaarhedenscan genoemd) analyseert een van onze security specialisten uw systemen met behulp van de kwetsbaarhedenscanner ‘Nessus’. Hierbij worden uw systemen automatisch getoetst op bekende kwetsbaarheden en misconfiguraties. Via een duidelijk en overzichtelijk rapport krijgt u een algemeen beeld van de huidige staat van de cyber security van uw IT-systemen.

Pentest

Bij een Pentest (ook wel penetratietest genoemd) gaan wij nog een stapje verder en simuleren wij echte hackpogingen om kwetsbaarheden in netwerken, systemen en software te ontdekken. Ook hier wordt een Vulnerability Scan uitgevoerd, maar daarna verifiëren wij persoonlijk de uitkomsten. Daarnaast testen wij persoonlijk met behulp van bekende en vertrouwde methodieken. Zo testen wij onder andere een webapplicatie door middel van de OWASP Testing Guide en beoordelen wij kwetsbaarheden via het Common Vulnerability Scoring System (CVSS). Met in-depth testen krijgt u gegarandeerd een diepgaand inzicht in de algehele staat van beveiliging van uw IT systemen.

Automatisch scannen op kwetsbaarheden en misconfiguraties
Voldoende voor ISO 27001 en AVG
Rapportage ook te begrijpen voor IT-leken
Uitvoering volgens beproefde en betrouwbare methodes

Persoonlijk testen
Toetsing van automatisch gevonden kwetsbaarheden
Het simuleren van echte hackaanvallen
Uitgebreide beschrijving aanvalsmethode in rapportage

Hoe werkt een Pentest?

Een Pentest wordt meestal als een grey box test uitgevoerd. Hierbij heeft de pentester beperkte kennis van het te testen systeem en krijgt de pentester toegang via een gebruikers en/of administrator account. De Pentest kent 5 fases:

Verkenning

Automatisch testen

Persoonlijk testen

Risicoanalyse & aanbevelingen

Rapportage

De vuurproef voor uw Cyber Security

U kunt een Vulnerability Scan of Pentest laten uitvoeren, omdat u compliant wil zijn met een normering, zoals ISO27001. Echter, wij geloven niet in het simpelweg testen omdat het staat voorgeschreven in een managementsysteem.

Wij vinden dat het onderwerp moet beklijven en dat sleutelfiguren in uw organisatie doordrongen moeten zijn van de noodzaak van een dergelijke test. In feite is goede beveiliging het borgen van iets dat niet gebeurt. De enige echte manier om te bewijzen dat uw beveiliging goed werkt, is door dit soort risicosimulaties.

Het beschermen van uw reputatie en het vertrouwen dat uw klanten in u hebben, heeft onze hoogste prioriteit. Met name datalekken zijn desastreus voor het imago van een organisatie en hebben vaak verstrekkende gevolgen. Wij stellen alles in het werk om dit te voorkomen.

Jordi van Duyne

Gaat u liever direct in gesprek met een deskundige op het gebied van Vulnerability Scans en Pentests? Neem dan gerust contact op met Jordi van Duyne, Consultant en Auditor bij Newmorn’.