Top 5 soorten penetratietests

De escalerende dreiging van hackers wordt met de dag groter. Uit een enquête van TechRepublic onder meer dan 400 IT-beveiligingsprofessionals bleek dat 71% van hen sinds het begin van de COVID-19-uitbraak een toename van het aantal beveiligingsrisico’s of aanvallen had gezien. Als een hacker erin slaagt uw beveiliging te doorbreken, kan de schade voor uw reputatie, bedrijfsresultaten en operationele capaciteiten catastrofaal zijn.Om uw beveiliging tegen cybercriminaliteit te meten en kwetsbaarheden in uw kritieke IT-systemen op te sporen, moet u verschillende soorten penetratietests overwegen.

Wat zijn penetratietests? En welke is nodig voor uw bedrijf?

Let’s review.

Wat is een penetratietest?

Bij een penetratietest, ook wel pentest genoemd, is doorgaans een team van beveiligingsprofessionals betrokken dat probeert de netwerken of servers van uw bedrijf binnen te dringen. Zij doen dit door kwetsbaarheden te identificeren en deze vervolgens uit te buiten. Daarom worden pentests vaak aangeduid als een vorm van ethisch hacken.

Pentests zijn een effectief verdedigingsmechanisme omdat ze echte aanvallen nabootsen. Ze stellen u in staat om de zwakke punten in uw cyberbeveiligingsperimeter te zien – of dat nu backdoors in het besturingssysteem, onbedoelde ontwerpfouten in de code, of onjuiste softwareconfiguraties zijn.

Voordelen van het periodiek uitvoeren van tests zijn onder meer:

  • Ontdekt risico’s in uw applicatieconfiguraties en netwerkinfrastructuur
  • Beschermt IP en gevoelige en persoonlijke gegevens
  • Licht de werkelijke risico’s uit van een hacker die met succes uw verdediging doorbreekt
  • Bepaalt uw cyberverdedigingscapaciteiten – uw vermogen om aanvallen te detecteren en vervolgens tijdig te reageren
  • Zorgt ervoor dat uw netwerk en activiteiten 24 uur per dag, 7 dagen per week probleemloos functioneren en geen onverwachte downtime ondervinden
  • Voldoet aan regelgeving en certificeringen zoals PCI of ISO
  • Levert een objectief oordeel van een derde partij over de doeltreffendheid van uw cyberbeveiligingsinspanningen

Penetratietests zijn ontworpen om intensief en invasief te zijn. Het doel is om uw gehele perimeter te testen om zoveel mogelijk bruikbare informatie te verkrijgen. Per SC Magazine

Penetratietests kunnen worden uitgevoerd op hardware-, software- of firmwarecomponenten en kunnen fysieke en technische beveiligingscontroles toepassen. Het volgt vaak een opeenvolging van een voorlopige analyse op basis van het doelsysteem, dan een pretest identificatie van potentiële kwetsbaarheden op basis van eerdere analyses. Als dat eenmaal is gebeurd, kan een pretest helpen bij het vaststellen van de exploitatie van de vastgestelde kwetsbaarheden.

Beide partijen moeten het eens zijn over de reeks regels voordat met de tests wordt begonnen. Vervolgens moeten de tests op uw hele netwerk worden toegepast.

Penetratietest nodig? Lees meer.

De drie vormen van penetratietests

Er zijn drie primaire manieren om een penetratietest uit te voeren:

  • Black-box-test
  • White-box-test
  • Gray-box-test

Black-box-test

Black-box-tests, ook bekend als externe penetratietests, simuleren een aanval van buiten uw organisatie.

De pentester begint op dezelfde voet als een echte hacker zou doen. Dit betekent dat hij begint met weinig tot geen informatie over de IT-infrastructuur en de beveiliging. Ze kennen de interne werking niet van:

  • De webapplicaties
  • De softwarearchitectuur
  • De broncode

Deze vorm van testen geeft u een idee van wat een buitenstaander zou moeten doen om uw beveiliging te doorbreken. Maar de test eindigt niet op dat punt. Er is meer te leren. Een tester wil ook zien hoeveel schade hij zou kunnen aanrichten als hij eenmaal in het systeem zit. Volgens het Infosec Institute:

Black-box penetratietests zijn gebaseerd op dynamische analyse van de programma’s en systemen die op dat moment binnen het doelnetwerk draaien. Een black-box penetratietester moet vertrouwd zijn met geautomatiseerde scanningtools en methodologieën voor handmatig penetratietesten. Black-box penetratietesters moeten ook in staat zijn hun eigen kaart van een doelnetwerk te maken op basis van hun waarnemingen, aangezien zij niet over een dergelijk diagram beschikken.

Typisch gaat een tester van het internet naar de router, in een poging de firewall-verdediging te omzeilen. Dit wordt bereikt door een volledige brute krachtaanval op de IT-infrastructuur uit te voeren. Het is een soort trial-and-error-aanpak, waarbij geautomatiseerde processen lukraak naar exploiteerbare kwetsbaarheden zoeken.

Een black-box test kan tot zes weken duren om grondig te voltooien, hoewel het nog langer kan duren, afhankelijk van de omvang van het project en de strengheid van het testen.

White-Box Test

Soms ook clear box testing of intern testen genoemd, geeft dit type pentest de tester vanaf het begin toegang tot de broncode en de softwarearchitectuur. Het bootst een aanval na van een werknemer of hacker die al toegang tot het systeem heeft verkregen.

De pentester begint met dezelfde privileges die een geautoriseerde gebruiker zou hebben. Van daaruit probeert hij zwakke plekken in de beveiliging en configuratie op systeemniveau uit te buiten. Het doel van deze test is het uitvoeren van een diepgaande audit van de verschillende systemen en het beantwoorden van twee belangrijke vragen:

  1. Hoe diep zou een aanvaller kunnen gaan via privilege-escalatie?
  2. Hoeveel schade zou een aanval kunnen veroorzaken?

Een interne test kan twee tot drie weken in beslag nemen.

Gray-Box Penetration Testing

Zoals de naam al aangeeft, houdt een gray-box test het midden tussen een interne en een externe test. De tester simuleert een aanval van buitenaf, maar in dit geval heeft de hacker het gedeeltelijke kennisniveau van een gebruiker.

Het doel is te zoeken naar defecten in de codestructuur of de applicatie, met behulp van een mix van white-box en black-box methodologieën. De hybride test meet de input van de gebruiker om te zien welke output de software als reactie produceert. Over het algemeen zal de test worden uitgevoerd via een combinatie van handmatige processen en geautomatiseerde programma’s.

Gemeenschappelijke scenario’s waarvoor een gray-box test bedoeld is, zijn onder meer:

  • De hacker heeft gebruikers- of admin-accounts waarmee hij kan inloggen
  • De hacker heeft een diepgaand begrip van de datastroom en architectuur van de applicatie
  • De hacker heeft toegang tot delen van de broncode

Omdat het een mengsel van beide methodologieën gebruikt, beschouwen sommigen het als de beste ROI voor uw tijd en middelen. Het levert veel van de voordelen van zowel een interne als externe test. Dat gezegd hebbende, een gray-box test biedt slechts een beperkte dekking van de applicatie en de broncode. Om het nog ingewikkelder te maken, zijn de tests niet eenvoudig te ontwerpen.

De 5 soorten pentests

Nu we de primaire manieren hebben behandeld waarop een penetratietest kan worden uitgevoerd, is het mogelijk om in de meest voorkomende soorten tests te duiken. De meeste zullen gebruik maken van een combinatie van white-box en black-box testmethodes. Deze omvatten:

Network Service Penetration Testing

Een netwerkpenetratietest wordt gebruikt om exploiteerbare zwakke plekken binnen uw:

  • Netwerken
  • Systemen
  • Hosts
  • Netwerkapparaten

Jouw missie is om ze te vinden en vervolgens te dichten voordat een hacker er zijn voordeel mee kan doen. Als het goed wordt gedaan, kan het de werkelijke kwetsbaarheden aantonen die een hacker zou kunnen gebruiken om toegang te krijgen tot gevoelige gegevens of de controle over het systeem over te nemen. Het ontdekkingsproces stelt uw team in staat betere manieren te vinden om privégegevens te beschermen en systeemovernames te voorkomen.

Wat houdt het in?

De meeste penetratietests volgen de 7 stappen van de Penetration Testing Execution Standard (PTES):

  • Interacties voorafgaand aan de opdracht – Het interne team en de beveiligingspartner komen bijeen om de omvang van de opdracht te bespreken en te definiëren.
  • Inlichtingen verzamelen – De testers proberen alle toegankelijke systemen en hun verschillende diensten te ontdekken om zo veel mogelijk informatie te verkrijgen.
  • Dreigingsmodellering – De tester identificeert exploiteerbare kwetsbaarheden binnen het systeem, via handmatig testen en geautomatiseerd scannen.
  • Kwetsbaarheidsanalyse – De tester documenteert en analyseert de meest in het oog springende kwetsbaarheden om een aanvalsplan te formuleren.
  • Exploitatie – De tester voert daadwerkelijk tests uit in een poging kwetsbaarheden uit te buiten.
  • Post-exploitatie – De tester probeert de waarde van de gecompromitteerde machine vast te stellen en de controle erover te behouden zodat deze op een later moment kan worden gebruikt.
  • Rapportage – De tester verzamelt bevindingen, rangschikt en prioriteert kwetsbaarheden, levert bewijs en beveelt responsieve maatregelen aan.

Web Application Penetration Testing

De uitbreiding van webapplicaties heeft ervoor gezorgd dat er meer internetmiddelen moeten worden besteed aan het ontwikkelen van software en het configureren van de applicaties om goed te werken. Maar dit betekent ook een belangrijke nieuwe aanvalsvector voor hackers, vooral omdat sommige webtoepassingen gevoelige gegevens kunnen bevatten.

penetratietests voor webtoepassingen hebben tot doel informatie over het doelsysteem te verzamelen, kwetsbaarheden te vinden en deze vervolgens uit te buiten. Het einddoel is om de webapplicatie volledig te compromitteren.

Dit staat ook bekend als Web Application Penetration Testing (WAPT). Het is in staat om de volgende scenario’s te testen:

  • Cross Site Scripting
  • SQL Injection
  • Broken authenticatie en sessie management
  • File Upload flaws
  • Caching Servers Attacks
  • Security Misconfigurations
  • Cross-Site Request Forgery
  • Password Cracking

Wordt vaak gezien als een “diepere duik” test, een WAPT is veel grondiger en gedetailleerder, vooral als het gaat om het identificeren van kwetsbaarheden of zwakke plekken in webgebaseerde toepassingen. Als gevolg hiervan moet een aanzienlijke hoeveelheid tijd en middelen worden besteed aan het adequaat testen van een webapplicatie als geheel.

Draadloze penetratietests

Draadloze penetratietests zijn gericht op het identificeren en vervolgens peilen van de verbindingen tussen alle apparaten die op uw zakelijke wifi-netwerk zijn aangesloten, waaronder:

  • Laptops
  • Tablets
  • Mobiele apparaten
  • IoT-apparaten

De test wordt ter plaatse uitgevoerd, aangezien de pentester binnen het bereik van het draadloze netwerk moet zijn om er toegang toe te krijgen. En het doel van de test is relatief eenvoudig: de kwetsbaarheden in de wifi-toegangspunten vinden.

Wat zijn de betrokken stappen?

  • Draadloze verkenning – Informatie wordt verzameld via wardriving – wat inhoudt dat rond de fysieke locatie wordt gereden om te zien of de wifi-signalen opduiken.
  • Identificeren van draadloze netwerken – Tester scant en identificeert draadloze netwerken met behulp van packet capture en wireless card monitoring.
  • Kwetsbaarheidsonderzoek – Nadat de tester wifi-toegangspunten heeft gevonden, probeert hij kwetsbaarheden op dat toegangspunt te identificeren.
  • Exploitatie – De tester probeert de kwetsbaarheden op een van de volgende drie manieren uit te buiten:
    • De-authenticatie van een legitieme client
    • Het vastleggen van een initiële 4-weg handshake
    • Het uitvoeren van een offline dictionary aanval op een vastgelegde sleutel
  • Rapportage – De tester documenteert elke stap van het proces, inclusief gedetailleerde bevindingen en aanbevelingen voor het beperken van de kwetsbaarheden.

Social Engineering Penetration Testing

Het grootste beveiligingsrisico voor uw organisatie – op geen enkele na – zijn uw werknemers. Volgens Security Magazine:

Cybercriminelen richten zich agressief op mensen omdat het verzenden van frauduleuze e-mails, het stelen van referenties en het uploaden van schadelijke bijlagen naar cloud-applicaties eenvoudiger en veel winstgevender is dan het maken van een dure, tijdrovende exploit die een hoge faalkans heeft. Meer dan 99 procent van de cyberaanvallen is afhankelijk van menselijke interactie, waardoor individuele gebruikers de laatste verdedigingslinie vormen.

Als u bij uw pogingen om uw beveiliging te verbeteren uw werknemers niet betrekt, zullen al uw inspanningen tevergeefs zijn. Zij moeten uw grootste zorg zijn.

Bij een social engineering penetratietest probeert de tester werknemers over te halen of te misleiden om gevoelige informatie te verstrekken, zoals een gebruikersnaam of wachtwoord.

Er zijn verschillende soorten social engineering-penetratieaanvallen, waaronder:

  • Phishing
  • Vishing
  • Smishing
  • Impersonatie
  • Tailgating
  • USB drops
  • Watering hole
  • Whalingsaanval
  • Pretexting
  • Quid pro quo aanval
  • Baiting
  • Dumperster diving

Het bewustzijn van werknemers vergroten en training geven over veelvoorkomende social engineering-aanvallen is een van de allerbeste manieren waarop u kunt voorkomen dat een aanval plaatsvindt of succesvol is.

Physieke penetratietests

Een fysieke penetratietest simuleert de ouderwetse manier om de beveiliging te doorbreken.

De pentester probeert voorbij de fysieke beveiligingsbarrières te komen en toegang te krijgen tot de beveiligingsinfrastructuur, gebouwen of systemen van uw bedrijf. Hij test de verschillende fysieke controles die u hebt ingesteld, waaronder:

  • Barrières
  • Camera’s
  • Sensoren
  • Sloten
  • Alarmen
  • Veiligheidsbeambten

Hoewel dit vaak als een bijkomstigheid wordt gezien, als een hacker de beveiliging kan omzeilen en toegang krijgt tot de serverruimte, kan hij gemakkelijk controle krijgen over uw netwerk. Het is dus van cruciaal belang dat uw fysieke beveiliging net zo streng wordt beschermd als uw cyberbeveiligingsperimeter.

RSI Security – The Pen Testing Experts

Pentests zijn een van de beste manieren om de effectiviteit van uw cyberbeveiliging en fysieke beveiliging te meten. Of u nu white-box, black-box of gray-box methodologieën gebruikt, elke pentest probeert een aanval in de echte wereld te simuleren – alleen zonder de gevolgen.

Heden ten dage zijn er vijf essentiële soorten penetratietests, waaronder:

  1. Netwerkdienst
  2. Webtoepassing
  3. Draadloos
  4. Social engineering
  5. Fysiek

Door al deze tests periodiek uit te voeren, kunt u ervoor zorgen dat uw cyberverdediging goed is.

Maar op wie kunt u vertrouwen om deze verschillende tests adequaat uit te voeren?

RSI Security is de expert op het gebied van penetratietests. Dankzij onze decennialange ervaring weten we precies wat er nodig is om uw cyberverdediging te beoordelen en vervolgens de meest in het oog springende zwakke punten aan te pakken.

Bent u klaar om te beginnen? Wij ook.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.