PenTesting
ICT speelt voor organisaties een belangrijke rol. Een goede, veilige IT-infrastructuur is vaak zelfs bepalend voor de continuïteit van een organisatie. Een beproefde methode om te controleren of jouw IT-infrastructuur goed is beveiligd, en is staat is om hackers buiten de deur te houden, is de pentest. In dit artikel gaan we dieper in op pentesting als security instrument.
Wat is een pentest?
Pentest staat voor ‘penetration testing’, ofwel in het Nederlands ‘penetratietest’. Hackers kunnen, vaak zonder dat je het weet, mogelijk misbruik maken van zwakke plekken in uw IT-infrastructuur. Bijvoorbeeld door toegang te verkrijgen tot jouw applicaties of netwerken, data te stelen, of malware of ransomware achter te laten.
Bij een pentest kruipen experts in de huid van zo’n potentiële hacker. Zogeheten ethical hackers proberen op allerlei manieren en met alle mogelijke middelen toegang te krijgen tot de geteste IT-omgeving of applicatie. Het doel is om zwakke plekken en kwetsbaarheden van bijvoorbeeld websites, een bedrijfsapplicatie of van zelfs de gehele IT-infrastructuur bloot te leggen.
Tijdens de penetration test kijkt de ethical hacker waar je succesvol aangevallen kunt worden en welke risico’s jouw organisatie loopt. Na afloop van de pentest volgt een advies ten behoeve van betere beveiliging en met welke gerichte maatregelen je eventuele kwetsbaarheden kunt verhelpen.
Is een pentest nuttig?
Ja zeker! Organisaties worden steeds meer afhankelijk van IT-systemen of beschikken digitaal over waardevolle gegevens, waarbij integriteit en vertrouwelijkheid van groot belang is. Tegelijk maken organisaties meer gebruik van digitale applicaties en toepassingen. Het is dan ook van groot belang om de IT-infrastructuur optimaal te beveiligen.
Pentesten levert belangrijke inzichten op in het huidige securityniveau van een organisatie. Het legt zwakheden bloot en brengt het algehele securityniveau van de organisatie in kaart. Op basis van de bevindingen kunnen organisaties de security vervolgens versterken waar nodig.
Hoe efficiënt is een pentest?
Budget, doel, tijd en situatie bepalen hoe grondig de test kan worden uitgevoerd en welke methode wordt toegepast. En daarmee dus ook de kans op slagen. Sommige pentests zijn specifiek gericht op een bepaalde website of applicatie. Andere pentests zijn breder gericht, vaak zelfs op de gehele IT-infrastructuur. Afhankelijk van de grootte en complexiteit daarvan kan een pentest dagen of weken in beslag nemen om zoveel mogelijk kwetsbaarheden in kaart te brengen. Het succes van de pentest hangt echt af van de situatie en het beschikbare budget.
‘’Mijn IT staat in de Cloud of is in beheer bij externe providers. Is een pentest dan nuttig?’’
Jazeker. Een Cloud- of IT-provider is immers ook kwetsbaar. Ze zijn juist aantrekkelijker voor hackers omdat ze doorgaans over veel data beschikken. Bovendien kun je wel IT-diensten afnemen bij externen, maar als organisatie ben en blijf je wel zelf verantwoordelijk voor de data die de organisatie beheert.
Wanneer een pentest zwakheden bij een externe partij bloot legt, dan wordt deze partij ingelicht zodat zij maatregelen kunnen nemen. Dat verhoogt uiteindelijk ook jouw eigen securityniveau en de bescherming van jouw data. Het is in een dergelijke situatie wel van belang dat de geteste organisatie voor een vrijwaringsverklaring zorgt bij de externe leverancier.
Voorbereiding
Wanneer je de pentest laat uitvoeren door een expert, gebeurt dit op gecontroleerde en veilige manier, zonder schade aan systemen te veroorzaken. Toch brengt een pentest risico’s met zich mee. Systemen kunnen door gesimuleerde aanvallen verstoord worden, wat kan resulteren in downtime. Wees hier als organisatie op voorbereid. Zorg dat snel kan worden ingegrepen wanneer de pentest onverhoopt een downtime veroorzaakt en dat cruciale systemen snel te herstellen zijn vanuit een test- of acceptatieomgeving.
VTM stemt van tevoren deze voorbereiding goed met jouw organisatie af. Onze experts zullen downtime altijd proberen te voorkomen en opletten op signalen die op verstoring duiden. We bepalen de scope, de aanpak en de doelstellingen van de pentest. Wat zou mogelijk de achilleshiel van jouw organisatie kunnen zijn? Beschikt je over gevoelige bedrijfsinformatie, of verwerkt jouw organisatie veel persoonsgegevens? Wat maakt jouw organisatie een aantrekkelijk doelwit voor kwaadwillende?
Een goede voorbereiding maakt een pentest effectiever en gerichter. Middels een risico-inventarisatie bepalen we samen met jou waarop de focus gelegd moet worden, om zo de effectiviteit van de test te maximaliseren.
Rapportage
Na afloop van de pentest volgt een rapport met bevindingen. Het rapport bevat de belangrijkste conclusies en aanbevelingen en een uitvoeriger technisch deel. Uiteindelijk moet de pentest resulteren in scherpere IT-beveiliging. We kijken samen met jouw organisatie naar de haalbaarheid en wenselijkheid van eventuele maatregelen om uiteindelijk aan de hand van concrete acties jouw securityniveau te verhogen.
Cybersecurity
De grote afhankelijkheid van IT maakt beveiliging tot één van de belangrijkste disciplines in het IT landschap. Het aantonen van kwetsbaarheden in de IT-infrastructuur maakt het voor organisaties mogelijk om in te schatten wat de grootste gevolgen heeft.
In dat kader heeft VTM in samenwerking met toonaangevende partners een pakket aan Cybersecurity diensten ontwikkeld. Deze diensten zijn bedoeld om op gecontroleerde en veilige manier mogelijke risico’s voor uw organisatie in kaart te brengen.
Wilt u meer informatie over de mogelijkheden van Penetration Testing voor uw organisatie? Of over onze andere Cyber Security diensten, neem dan zeker contact met ons op. Dat kan via 0174 527 320 of info@vtmgroep.nl.
