Standaard aanpak pentest
Een pentest maakt inzichtelijk welke kwetsbaarheden zitten in de programmatuur van applicaties, configuratie van standaardcomponenten van de infrastructuur (bijvoorbeeld routers en firewalls) , van menselijke risico’s en kan bestaan uit de onderstaande fasen. Let op: Een pentest is altijd maatwerk.
VTM hanteert een aanpak conform het Web Application Consortium (WASC), de Open Souce Security Testing Methodology Manual (OSSTMM) en het Open Web Application Security Pro-ject (OWASP) die ons in staat stelt de opdracht goed en efficiënt uit te voeren. Hieronder lichten wij kort toe wat deze zogenoemde fasen bevatten en hoe dit er praktisch voor u uitziet.
Komen we tijdens een pentest zaken tegen welke direct geadresseerd dienen te worden dan zullen wij u hiervan direct op de hoogte stellen. Andere zaken worden opgenomen in de uiteindelijke rapportage.
Infrastructuur assessment (fase I)
Een IT-Infrastructuur assessment maakt inzichtelijk welke kwetsbaarheden zitten in de configura-tie van standaardcomponenten van de web-facing & lokale ICT infrastructuur (bijvoorbeeld fire-walls, routers, proxyservers, load-balancers, webservers, hypervisors, domain controllers, mail ser-vers, database servers, applicatie servers etc.
| Fase | Toelichting |
| Kick-off meeting | In de kick-off meeting / voorbereiding bespreken wij de (wijzigingen in de) werking en opbouw van de applicatie zodat we efficiënter het security assessment kunnen uitvoeren. |
| I-1: Network- and host acquisition | In deze fase simuleren we hoeveel tijd het een hacker kost om zonder voorkennis informatie over het netwerk te verkrijgen. Deze fase word vaak vervangen door het aanleveren van de benodigde informatie vanuit de opdrachtgever. |
| I-2: Remote host-assessment | In deze fase testen wij in hoeverre een externe gebruiker van buiten het netwerk de beveiligingsmaatregelen op infrastructuur niveau kan omzeilen. |
| I-3: Local host-assessment | In deze fase testen wij de systemen vanaf het netwerk waarop deze zijn aangesloten om er zeker van te zijn dat alle componenten binnen het netwerk goed zijn geconfigureerd. |
| I-4: Wireless Access Points assessment | WiFi netwerken vormen vaak een zwakke schakel binnen het bedrijfsnetwerk. Tijdens deze fase worden kwetsbaarheden in uw WiFi netwerk blootgelegd en tilt u de beveiliging naar een hoger niveau. |
| I-5: Hands-on pentesting | Vanaf onze of uw locatie testen wij de oplossing op information disclosure, command execution, input checking en session hijacking. |
| H-1: Inlooptest | In deze fase proberen we een niet voor bezoekers toegankelijke zone in het pand te betreden en onbegeleid te kunnen vastleggen. |
| H-2: Verzamelen gegevens | Door middel van telefonische, mails of fysieke contactmomenten vertrouwelijke of beschermde informatie achterhalen. |
| R-1: Opstellen Rapportage | In de laatste fase zullen wij de resultaten samenvatten en opnemen in een rapportage. Tevens voorzien wij uw organisatie van aanbevelingen. |
| S-1: Persoonlijke sessie | Optioneel bespreken we in een persoonlijke sessie de resultaten, aanbevelingen en kunnen we gezamenlijk een plan van aanpak realiseren om uw organisatie weerbaarder en sterker te maken op het gebied van informatiebeveiliging. |
Benodigdheden
Voor een goede uitvoering van de opdracht vragen wij het volgende van u voor aanvang van het assessment te organiseren c.q. aan ons op te leveren:
- Getekende opdracht en vrijwaringsverklaring.
- Doorgifte van onze IP-adressen aan interne en externe partijen die zijn betrokken bij het beheer/hosting van de system in scope van de opdracht.
- Een Windows Active Directory account met administrator rechten op het lokale domein. Wij zetten gespecialiseerde tooling in die met behulp van deze gegevens kan inlog-gen op de systemen in scope. De tooling voert alleen ‘lees’ acties uit en veroorzaakt dus geen wijzigingen in systemen die gescand worden.
- Een fysieke werkplek voor de uitvoering van het local infrastructuur security assessment en de beschikking over netwerk connectiviteit, waardoor we met onze laptop kunnen inpluggen in het lokale netwerk.
Lees ook
Basisscan Cyberweerbaarheid
De Basisscan Cyberweerbaarheid geeft op overzichtelijke wijze inzicht in de digitale weerbaarheid van jouw bedrijf.
Doe de scan!
