start a penetration test

Privacy module_informatiebeveiligingdatalek_protocol

Starting a penetration test:

Pentest_informatiebeveiliging_penetration_test_triple_B

A penetration test by Triple B Consultancy

Everyone is connected to the internet. But is that internet connection safe? Or are you the owner of a website, but is that website well protected against hackers? Triple B can answer these types of questions for you:

A pen test is the first, easiest and fastest method to measure whether a network connection, your website or your web application is protected against hacking. In other words, penetration tests are “legal” or “ethical hacker” attacks on your network, website, internet access or computer system to gain insight into security risks and vulnerabilities. Other names for pentest are; vulnerability scan, vulnerability analysis or vulnerability test.

Which test applies to you? We are happy to explain it to you in a free introductory meeting. Possibly you can read a little more about the different types of pen tests on our explanation page about pen tests.

  • I need a privacy test every year, who can do that?

  • I am a firewall manager but have I really closed it properly?

 

When is a pen test useful?

There can be several times when a pen makes sense sense:

I have built a new website and want to test it
We have a new server or firewall connected to the internet but is it secure?
I have built-in software but is it safe?
I want to know if my IT administrator has everything securely connected

Pen test / security scan costs

We use pre-specified prices for all tests. So you will not be faced with surprises with regard to price, perhaps with regard to safety. It is rare that we do not find security holes.

What are the steps of a penetration test?

There are a number of steps in the process. If you want to have a penetration test performed, always inform well what a pentester will actually do for you. Some parties understand by pen testing: “turning on a tool” and sending the printout of the tool to the customer. In our experience this is not a real pen test or vulnerability assessment.

We also have these mind of tools and with us they are also a step in the process. Generally, much more is done with a pentest by Triple B than turning on a tool:

  1. Step 1; risk analysis: What is the relationship between our “measurement” and the risks in terms of availability, confidentiality and continuity? Based on this, we determine the intensity, scope and depth with you
  2. Step 2; impact and backups. You must sign a waiver beforehand that allows us to do the test. Is there a test environment? Then we can test more without the risk that something can go wrong.
  3. Step 3: Fingerprinting; what do we find for assets and information ourselves. This step is now also carried out separately by us because there is so much information to be found that could possibly cause damage or that exposes your assets.
  4. Step 4: The automated scans with own software and with tools from, among others, Nessus and Qualys
  5. Step 5: Read / filter and interpret the results. Technical tools often contain false positives or classify outcomes too high or too low.
  6. Step 6: The most important step during our pen test; manual checks. The information from steps 3 and 4 is taken into account, but years of experience in particular have taught us where there can be gaps in your security. An automated scan can never measure many risks that we have and you want to know for sure.
    Examples are: uploading a script or a test virus, can I unintentionally incur high costs through the software, for example by sending a million emails, does the login screen not reveal too much information and has two factor been applied
  7. Step 7: Reporting: Some customers want our raw “output” because the pen test is carried out as part of an internal audit, for example. If you need the results in an official report, we will prepare this report. First in draft, and then in definitive form after your input and management response have been processed. 


In addition to the pen tests conducted via the internet, we also carry out on-site pen tests and source code reviews and scans. Would you like to know more or order a pen test or source code scan directly, then press the button?

translation in English will be finished soon…..

Kosten pentest / beveiligingsscan

Voor alle tests hanteren wij vooraf opgegeven prijzen. U komt dus niet voor verassingen te staan wat de prijs betreft, misschien wel voor wat betreft de veiligheid. Het komt zelden voor dat wij geen beveiligingsgaten vinden.

Wat zijn de stappen van een penetratie test?

Er zijn een aantal stappen in het proces. Als u een penetratie test wil laten uitvoeren, informeer dan altijd goed wat een pentester daadwerkelijk voor u gaat doen. Sommige partijen verstaan onder het pentesten het ‘aanzetten van een tool’ een de uitdraai van de tool opsturen naar de klant. In onze beleving is dit geen echte pentest of vulnerability assessment. Wij hebben deze tools ook en ook bij ons vormen ze een stap in het proces. Doorgaans wordt er bij Triple B veel meer gedaan dan het aanzetten van een tool:

  1. Stap 1: risico analyse: In welke verhouding staat onze ‘meting’  tot de risico’s op gebied van beschikbaarheid, vertrouwelijkheid en continuïteit? Op basis hiervan bepalen we met u de intensiteit, scope en diepgang
  2. Stap 2: impact en backups. Vooraf moet u een vrijwaring tekenen die ons toestemming verleend de test te mogen doen. Is er een testomgeving? Dan kunnen wij meer testen zonder het risico dat er iets ‘stuk’  kan gaan.
  3. Stap 3: Fingerprinting; wat vinden we zelf voor assets en informatie. Deze stap wordt tegenwoordig door ons ook los uitgevoerd omdat er zoveel informatie te vinden is die mogelijk schade zou kunnen geven of die uw ‘assets’ (bezittingen) blootgeven
  4. Stap 4: De geautomatiseerde scans met eigen software en met tools van o.a Nessus en Qualys
  5. Stap 5: Lezen/filteren en interpreteren van de uitkomsten. Technische tools bevatten vaak false positives of classificeren uitkomsten te hoog of te laag.
  6. Stap 6: De belangrijkste stap tijdens onze pentest; handmatige controles. De informatie uit stap 3 en 4 wordt meegenomen maar vooral jarenlange ervaring heeft ons geleerd waar de gaten kunnen zitten in uw beveiliging. Een geautomatiseerde scan kan heel vele risico’s die er we zijn nooit meten en u wilt ze zeker wel weten. Voorbeelden zijn: het uploaden van een script of een testvirus, kan ik onbedoeld via de software hoge kosten maken door bijvoorbeeld een miljoen mails te sturen, verklapt het login scherm niet te veel informatie en is er wel two factor toegepast?
  7. Stap 7: Rapportage: Sommige klanten willen onze ruwe ‘output’ omdat de pentest in het kader van bijvoorbeeld een interne audit wordt uitgevoerd. Heeft u de uitkomsten nodig in een officieel rapport dan stellen wij dit rapport op. Eerst in draft, en daarna in definitieve vorm nadat uw input en management response zijn verwerkt.

Naast de via het internet uitgevoerde pentests doen wij ook ‘on-site’  pentests en source code reviews en scans. Wilt u meer weten of direct een pentest of source code scan bestellen, druk dan op de knop?