Penetratie tester

Een penetratietest test de kwetsbaarheid van computersystemen en gebruikt deze kwetsbaarheden om te proberen in te breken in het systeem. Het risiconiveau is het product van de kans dat de kwetsbaarheid wordt gebruikt maal de hoeveelheid schade die is opgetreden wanneer dat gebeurt.

Een verschil tussen een penetratietest en een audit (veiligheidscontrole) is dat auditors niet proberen in te breken in een systeem als ze kwetsbaarheden vinden.

Verschillende soorten informatie kunnen aan de penetratietester worden verstrekt voordat deze aan de beveiligingsaudit begint. Afhankelijk van welke informatie met de pentester wordt gedeeld, veranderen zowel de manier van testen als de uitkomsten.

We kunnen drie configuraties noemen:

  • Black box
  • Crystal box
  • Grey box

Black Box-penetratietesten
Black Box betekent simpelweg dat de penetratietester niets ziet, hij weet niet wat er in de doos zit, de doos is het webplatform van het doelwit (klant). De tester kent de naam van de klant en wellicht een IP-adres of een URL. In dit soort situaties zal de tester veel tijd moeten besteden aan het verkennen en zoeken naar applicaties, websites en verborgen delen van het platform. Black box testing simuleert een zogenaamde ‘black hacker’ en maakt de organisatie bewust van de hackrisico’s.

Zonder goede coördinatie bestaat het risico dat de pentester een applicatie test die de klant niet wil testen, of erger nog, die niet van de klant is!

Crystal Box penetratie testen
Crystal Box betekent dat de tester alles kan zien. De penetratietester heeft volledige toegang tot bijna alle informatie die ze nodig hebben:
– volledig gedetailleerd bereik (urls, IP’s, poorten)
– details over de aanvraag
– een willekeurig aantal testaccounts, testgegevens
– broncode…

De communicatie tussen de tester en de organisatie moet uitstekend zijn, zodat de tester correcte informatie over het platform kan krijgen.
Externe beveiligingsbedrijven voeren in toenemende mate dit soort zeer coöperatieve tests uit.
De uitdaging bij dit soort testen zit vooral aan de communicatiekant en het testbedrijf moet vertrouwd worden aangezien zij soms toegang krijgen tot de broncode van de webapplicatie.
Dit soort testen kan sterk worden geïntegreerd in de levenscyclus van softwareontwikkeling (SDLC) van webapplicaties.

Gray Box Penetration Testing

Bij Gray Box testen wordt de penetratietester voorzien van beperkte informatie, ergens tussen black box en crystal box in. Meestal geeft de klant een gedetailleerd bereik van wat er moet worden getest, om ervoor te zorgen dat de test binnen de grenzen blijft. Hoewel de scope duidelijk is gedefinieerd, blijft de communicatie tussen het pentestbedrijf en de klant belangrijk: het is soms nodig om enkele twijfels rond de scope zelf op te helderen en meer in het algemeen om vragen te beantwoorden die de test en uiteindelijk het resultaat zullen versnellen.
Grijze doos is het meest voorkomende type tests dat wordt uitgevoerd op webapplicaties.

Het doel van een penetratietest is om de kwetsbaarheden in de IT-beveiliging van de opdrachtgever te signaleren en waar deze bij misbruik toe kunnen leiden.

ID Control’s rapport van de penetratietest geeft:

  • een managementsamenvatting
  • de methoden die bij het testen worden gebruikt
  • strategisch, tactisch en operationeel advies over de technische risico’s per applicatie of server

    voordat het testen begint wordt afgesproken:

  • welke platforms worden getest
  • de hoeveelheid informatie de tester heeft over de organisatie
  • wanneer het testen zal worden uitgevoerd
  • dat ID Control wordt afgezien van enige aansprakelijkheidsclaims met betrekking tot (digitale) tress passing.

    Penetratietests kunnen enkele dagen duren, afhankelijk van het aantal systemen, applicaties en servers dat moet worden getest.

    Meer weten over penetratietesten? Neem contact op met ID-control.