Controleer uw VEILIGHEID MET EEN PEN TEST
pentest / Penetratie test
Een Penetratie test of pentest, wat is dat?
Penetratie tests, ook wel pentests genoemd, zijn ‘legale’ of ‘ethische hacker’ aanvallen op uw netwerk, website, internettoegang of computersysteem om inzicht te krijgen in de beveiligingsrisico’s en kwetsbaarheden.
Deze Legale hacktests die Triple-B voor u verricht, worden op drie manieren uitgevoerd:
- White box testing:
- Gray box testing:
- Black box testing:
Het onderscheid zit in de hoeveelheid kennis en achtergrondinformatie die de tester (de ‘hacker’) krijgt. Heeft de tester van tevoren inzicht in alle aspecten van de systeemarchitectuur? Dan spreekt men van white box hacking. Beschikt een tester over gedeeltelijke informatie? Dan heet dit Grey box en van Blackbox wordt gesproken als de tester minimale voorkennis heeft.
Welke test is voor u van toepassing? We leggen het u graag uit in een kosteloos kennismakingsgesprek.
Wist u dat:
- het regelmatig uitvoeren van een pentest bijdraagt aan het beschermen van uw bedrijfsreputatie en de continuïteit van uw bedrijf?
- het uit laten voeren van een penetratietest datalekken en fraude kan voorkomen?
- het uitvoeren van een pentest u zelfs geld kan besparen?
- de IT beheerder van bedrijven niet heeft geleerd om kwetsbaarheden in software en op netwerklaag te testen?
- Is uw bedrijfsinformatie goed beveiligd? Hoe zeker bent u daarvan?
- Een accountant controleert uw boekhouder, maar wie controleert uw ICT beheerder? Staan er poorten onnodig open? Worden de mogelijkheden van uw systemen wel optimaal en vooral veilig benut?
- ISO 27001: De norm specificeert en eisen vaststelt voor het, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie?
- Privacy regels: In het kader van de nieuwe AVG / Privacy regels is het verplicht geworden om de veiligheid te reguleren. Met onze pentests waarbij de rapportages gemaakt worden door een CISSP (gecertificeerde pentester) heeft u aan uw verplichting om de veiligheid aantoonbaar te maken al voor een flink stuk voldaan.
Website scan
U geeft geld uit aan een mooie website met interessante en nuttige content. Wellicht verkoopt u uw producten of diensten via uw site of stelt u uw site ter beschikking als discussie forum. Heeft u of uw webbouwer bij het bouwen van de site evenveel aandacht gehad voor de beveiliging ervan?
Voer zelf uw website adres eens in op https://internet.nl en u weet binnen 1 minuut misschien al meer. Op deze website biedt de Nederlandse overheid samen met SIDN een eerste indicatie aan van hoe veilig en goed uw website is. Scoort u geen 100%? Dan loopt u waarschijnlijk risico’s en wordt uw website bovendien ook minder goed vindbaar via zoekmachines zoals google. Wilt u dit oplossen dan weet Triple-B hoe dat moet.
De test van internet.nl doen wij ook, maar dan veel completer en complexer. Dit heet een pentest. Wij investeren in kennis en apparatuur om de hackers zo veel mogelijk voor te blijven. Een 100% veilige website bestaat niet maar veiliger kunnen wij het zeker maken.
Pentest op server en netwerk
Bij een penetratie test op server en netwerk testen wij de beveiliging van servers en componenten van buiten af. We testen de verbinding(en) tussen uw kantoor en het internet. Dit is dus iets anders dan uw website, die vaak extern gehost wordt. U krijgt zo inzicht in kwetsbaarheden of beveiligingslekken binnen uw netwerk. Wij scannen de veiligheid van één of meer servers of een netwerk segment via het internet óf bij u op locatie. Ook de route tot de server en andere netwerk onderdelen kunnen we in overleg meenemen in de scan.
Pentest op applicaties
Wij adviseren u om een pentest op applicaties te laten uitvoeren wanneer binnen uw organisatie gebruik gemaakt wordt van maatwerk software. Als u geen onafhankelijk uitgevoerde pentest rapporten mag inzien van uw bouwer laat dan zelf testen! Bij deze test spitsen wij ons toe op uw specifieke applicaties, zoals de databases, content management systemen en maatwerk software. Wij gebruiken hiervoor specialistische software om broncodes te scannen. Dit heet ook wel sourcecode scanning of applicatie vulnerability scanning.
Pentest op VOIP
Vaak realiseren organisaties nog niet de consequenties van toegang tot VOIP. hackers bellen dan via uw (gehackte) telefooncentrale hun eigen dure betaalnummers. Uw VOIP systemen hebben vaak een eigen netwerk of eigen cloud dienst, en gaan dus niet altijd automatisch mee in de pentest van uw kantoor. Daarnaast zijn er specifiek voor VOIP andere testen door ons ontwikkeld die wij voor u kunnen inzetten om de veiligheid te testen.
Pentest op e-mail
Zestig procent van alle bedrijfsbesmettingen komt via e-mail. Dus is het verstandig om dit kanaal regelmatig door te testen. Wij hebben hiervoor een eigen systeem ontwikkeld met zelf geschreven virussen, SPAM en phishing mails.
Voor grotere bedrijven hebben we ook software beschikbaar die via een plugin werkt. Hierdoor kunnen we ook een awareness training koppelen en kan iedere medewerker altijd met 1 druk op de knop assistentie vragen bij (alweer een) vreemde e-mail. Met een leuk wedstrijdelement kunnen uw collega’s elkaar laten zien wie de verstandigste is. En…zo’n leermoment komt regelmatig terug en duurt maximaal zo’n 30 seconden. Blijvende security op mail dus zonder dat dat heel veel tijd kost. De laatste oplossing (met plugin) kan voorlopig alleen in bedrijven vanaf 100 medewerkers, daarom hebben wij ook onze eigen tooling vanaf 1 mailbox.
Pentest op LAN
Wat zou er gebeuren als een hacker op uw netwerk is gekomen. Of wat zou een boze medewerker kunnen doen? Hiervoor komen we bij u op locatie om via uw interne netwerk te beoordelen hoe veilig de aangesloten systemen zijn. Veel computervirussen verspreiden zich snel tussen de computers van een bedrijf of organisatie. Kan dit bij u ook? Wannacry was zo’n voorbeeld. Als wij eerder bij het bedrijf waren geweest dan wannacry, dan was de impact 1 werkstation in plaats van een complete organisatie die er dagen of langer uit ligt.
Het resultaat van de penetration test ontvangt u in de vorm van een heldere en bruikbare rapportage, waarmee u uw leverancier of ICT beheerder aan het werk kan zetten. Ook kan Triple-B in een vervolg traject de te nemen stappen uitzetten en/ of de uitrol voor haar rekening nemen.
Wanneer pentesten?
Er kunnen meerdere momenten zijn waarop een pentest zinvol is:
- In de acceptatiefase van een nieuw systeem of een nieuwe applicatie.
- Bij significante wijzigingen van een belangrijk systeem of een belangrijke applicatie.
- Periodiek (jaarlijks/tweejaarlijks, elke week, elke dag), om bestaande systemen te testen op nieuwe inbraaktechnieken of configuratie fouten van uw systeem beheerder(s)
- Als er een andere reden is om te denken dat de beveiliging van een systeem minder goed is dan gedacht.
Neem voor meer informatie over de verschillende soorten penetration tests contact met ons op.
Kosten pentest / beveiligingsscan
Geautomatiseerde website beveiligingsscans voor een eenvoudige website of kantoor toegang zijn snel een goedkoop voor u uit voeren. Wilt u ook een officieel rapport en advies over de te nemen maatregelen, dan is dat meestal 4 tot 6 uur werk voor ons. Daarnaast zijn goede pentests een combinatie van de geautomatiseerde scan en een aantal uren of dagen handmatige controles. Niet alle fouten kunnen namelijk via software worden opgespoord. Voor pentests waar ook een rapport en/of handmatige controles bij horen geven wij altijd vooraf een vaste prijs.
Hieronder vindt u een overzicht van nog steeds veel voorkomende aanvallen en hack technieken:
SQL Injectie
SQL injectie is het injecteren van speciale tekens en coderegels in pagina’s en verbindingen van en naar uw website. Meestal worden hier tools voor gebruikt maar het kan ook eenvoudig handmatig gedaan worden. De tekens en codes kunnen ervoor zorgen dat uw website onbruikbaar wordt en dat uw database vol komt te zitten met onbruikbare informatie. In enkele gevallen kan via een SQL injectie een hacker uw website, database of uiteindelijk zelfs uw bedrijfsservers overnemen.
Wat kunt u ertegen doen?
Het toepassen van capcha codes en het kiezen van het juiste technische ontwerp voor een website zijn de meest toegepaste tegenmaatregelen.
Cross-site scripting / X-site scripting
Bij deze gevaarlijke techniek plaatst de hacker een aantal code regels in uw website waarmee sessies en transacties worden opgevangen of overgenomen. U loopt het risico dat belangrijke en privacy gevoelige informatie van uw klanten op straat komt te liggen. In enkele gevallen kan een hacker uw website, database of zelfs uw bedrijfsservers overnemen.
Voorzichtig omgaan met het beschikbaar stellen van invoervelden op uw website! Eén onbeschermd veld op een van de web pagina’s is voldoende om kwaadaardige codes in te plaatsen. Dit geldt ook voor een gastenboek of forum pagina!
Phishing
Phishing is ‘vissen’ naar gegevens van uw klanten. Een groot probleem in het bankwezen! De meest bekende en gebruikte techniek is het versturen van nep e-mails uit naam van en in de opmaak van het slachtoffer. De e-mails nodigen uw klanten uit hun persoonlijke gegevens achter te laten, zoals inloggegevens of credit card nummers. De gevolgen zijn erg groot. Veel klanten geven te goeder trouw hun persoonlijke gegevens, waarmee die hackers toegang krijgen tot uw database.
Wat kunt u ertegen doen?
Sterke authenticatie is een belangrijk tegenmiddel tegen phishing. Een token of key kan namelijk niet in een email ingetypt worden.
Website Defacement
Website defacement is het aanpassen van uw website, zodat bezoekers andere informatie zien. Meestal is dit het werk van script-kiddies; ijverige computerfreaks die veelal als hobby een website aanpassen. De gevolgen zijn afhankelijk van het aantal bezoekers op uw website en de toegepaste vorm van defacement. Voor grotere sites kan het resulteren in imago schade. Voor bedrijven met privacy gevoelige data of financiële gegevens op de website kan dit het einde van het bedrijf betekenen.
Wat kunt u ertegen doen?
Defacement is meestal eenvoudig te voorkomen met de juiste instellingen op de servers. Aanvullende maatregelen zijn er in de vorm van speciale beveiligingspakketten en secure hosting.
Aanvallen op DNS servers
DNS servers zijn de brigadiers van het internet verkeer. Alle apparatuur volgt eenvoudig de aanwijzingen van de DNS server op bij het vinden van een website. Een aanval op een DNS server leidt daarom tot chaos op de internetwegen. Uw klanten kunnen door een dergelijke aanval gerouteerd worden naar een schaduw website, terwijl uw website onbereikbaar is geworden.
Wat kunt u ertegen doen?
Secure DNS biedt een goede beveiliging voor DNS servers. Ook zijn er tegenwoordig service bedrijven die uw DNS instellingen eenmalig of periodiek controleren.
DOS attacks (Denial Of Service)
Een DOS aanval is er op gericht een website of web dienst onklaar te maken door er speciale pakketjes/ berichten naar toe te sturen die de server of de applicaties onklaar maken. Hierdoor kan het dan vervolgens ook voorkomen dat informatie lekt of door de crash toegang verkregen kan worden. Een klassiek voorbeeld is de ‘ping des doods’ : 1 simpel pakketje legt dan een hele server om.
DDOS attacks (Distributed Denial Of Service)
Een DDOS aanval is er net als bij een DOS aanval op gericht een website of web dienst onklaar te maken. Het verschil met DOS is dat DDOS aanvallen vanaf heel veel verschillende apparaten (een zogenaamd botnet) te gelijk gedaan worden. Het is best ingewikkeld en kost ook altijd best wat geld als je website en bedrijf zou willen beschermen tegen DDOS. Als u wilt weten hoe dit moet en hoe dit in elk geval niet teveel gaat kosten? Triple B helpt u graag.
Pentesten is nuttig maar voor ons ook heel leuk werk. Met respect voor de bouwers boeken we samen met onze opdrachtgevers vooruitgang. Regelmatig doen wij de eerste pentest ter kennismaking gratis. Neem contact met ons op en we leggen uit hoe dat gaat.