Standaard aanpak pentest

Een pentest maakt inzichtelijk welke kwetsbaarheden zitten in de programmatuur van applicaties, configuratie van standaardcomponenten van de infrastructuur (bijvoorbeeld routers en firewalls) , van menselijke risico’s en kan bestaan uit de onderstaande fasen. Let op: Een pentest is altijd maatwerk.

VTM hanteert een aanpak conform het Web Application Consortium (WASC), de Open Souce Security Testing Methodology Manual (OSSTMM) en het Open Web Application Security Pro-ject (OWASP) die ons in staat stelt de opdracht goed en efficiënt uit te voeren. Hieronder lichten wij kort toe wat deze zogenoemde fasen bevatten en hoe dit er praktisch voor u uitziet.

Komen we tijdens een pentest zaken tegen welke direct geadresseerd dienen te worden dan zullen wij u hiervan direct op de hoogte stellen. Andere zaken worden opgenomen in de uiteindelijke rapportage.


Infrastructuur assessment (fase I)

Een IT-Infrastructuur assessment maakt inzichtelijk welke kwetsbaarheden zitten in de configura-tie van standaardcomponenten van de web-facing & lokale ICT infrastructuur (bijvoorbeeld fire-walls, routers, proxyservers, load-balancers, webservers, hypervisors, domain controllers, mail ser-vers, database servers, applicatie servers etc.

Fase Toelichting
Kick-off meeting
In de kick-off meeting / voorbereiding bespreken wij de (wijzigingen in de) werking en opbouw van de applicatie zodat we efficiënter het security assessment kunnen uitvoeren.

I-1: Network- and host acquisition
In deze fase simuleren we hoeveel tijd het een hacker kost om zonder voorkennis informatie over het netwerk te verkrijgen. Deze fase word vaak vervangen door het aanleveren van de benodigde informatie vanuit de opdrachtgever.

I-2: Remote host-assessment
In deze fase testen wij in hoeverre een externe gebruiker van buiten het netwerk de beveiligingsmaatregelen op infrastructuur niveau kan omzeilen.

I-3: Local host-assessment
In deze fase testen wij de systemen vanaf het netwerk waarop deze zijn aangesloten om er zeker van te zijn dat alle componenten binnen het netwerk goed zijn geconfigureerd.

I-4: Wireless Access Points assessment
WiFi netwerken vormen vaak een zwakke schakel binnen het bedrijfsnetwerk. Tijdens deze fase worden kwetsbaarheden in uw WiFi netwerk blootgelegd en tilt u de beveiliging naar een hoger niveau.

I-5: Hands-on pentesting
Vanaf onze of uw locatie testen wij de oplossing op information disclosure, command execution, input checking en session hijacking.

H-1: Inlooptest
In deze fase proberen we een niet voor bezoekers toegankelijke zone in het pand te betreden en onbegeleid te kunnen vastleggen.

H-2: Verzamelen gegevens
Door middel van telefonische, mails of fysieke contactmomenten vertrouwelijke of beschermde informatie achterhalen.

R-1: Opstellen Rapportage
In de laatste fase zullen wij de resultaten samenvatten en opnemen in een rapportage. Tevens voorzien wij uw organisatie van aanbevelingen.

S-1: Persoonlijke sessie
Optioneel bespreken we in een persoonlijke sessie de resultaten, aanbevelingen en kunnen we gezamenlijk een plan van aanpak realiseren om uw organisatie weerbaarder en sterker te maken op het gebied van informatiebeveiliging.


Benodigdheden

Voor een goede uitvoering van de opdracht vragen wij het volgende van u voor aanvang van het assessment te organiseren c.q. aan ons op te leveren:

  • Getekende opdracht en vrijwaringsverklaring.

  • Doorgifte van onze IP-adressen aan interne en externe partijen die zijn betrokken bij het beheer/hosting van de system in scope van de opdracht.

  • Een Windows Active Directory account met administrator rechten op het lokale domein. Wij zetten gespecialiseerde tooling in die met behulp van deze gegevens kan inlog-gen op de systemen in scope. De tooling voert alleen ‘lees’ acties uit en veroorzaakt dus geen wijzigingen in systemen die gescand worden.

  • Een fysieke werkplek voor de uitvoering van het local infrastructuur security assessment en de beschikking over netwerk connectiviteit, waardoor we met onze laptop kunnen inpluggen in het lokale netwerk.

 

Terug naar overzicht

Cyber Security pentesting

Deel via:

Basisscan Cyberweerbaarheid

De Basisscan Cyberweerbaarheid geeft op overzichtelijke wijze inzicht in de digitale weerbaarheid van jouw bedrijf.

Doe de scan!

Volgende

Cybersecurity
Basisscan Cyberweerbaarheid