Wat is een Pentest?

Pentest staat voor Penetratie Test. Penetratietesten houdt in dat legitieme (ethische) hackers uw systeem realistisch onderzoeken. De ethische hackers nemen als het ware de rol aan van een kwaadwillende hacker. Net als echte criminelen proberen ze op elke mogelijke manier toegang te krijgen tot beschermde gegevens. Uiteraard binnen het kader dat tussen hackers en de eigenaar van het systeem is afgesproken. Zo ontdekken pentesters kwetsbaarheden en risico's in applicaties, netwerken en systemen. Zo krijgt u een duidelijk beeld van de risico's en kwetsbaarheden in de IT-omgeving van uw bedrijf. Vervolgens kunnen gerichte maatregelen worden genomen om risico's te beperken en de beveiliging naar een hoger niveau te tillen.

 

Wat voor soort pentesten zijn er?

Er zijn veel soorten penetratietesten: black-box, grey-box en white-box penetratietesten.

Bij black box penetratietest krijgt een penetratietester vooraf beperkte informatie om te testen in het kader van de test, zoals IP-adressen en URL's, en gebruikt hij zijn eigen kennis en apparatuur om de IT-omgeving verder te verkennen. Daarom wordt deze test vaak gebruikt om de algehele beveiliging van een applicatie, netwerk of omgeving te valideren.

Een grey box pentest kan gezien worden als een combinatie van black box en white box pentests. De tester krijgt voorafgaand de test beperkte informatie over het netwerk en achterliggende systemen, en een gebruikersaccount in het systeem of applicatie. Die techniek simuleert een hacker of kwaadwillende insider die al een zekere toegang heeft tot het systeem of de applicatie alvorens hij de aanval start. Grey box pentesting maakt het mogelijk om de systemen te testen vanuit gebruikersperspectief. Deze techniek is bovendien efficiënter dan black box pentesting: de aanvaller kan gerichter kwetsbare plekken in het systeem opsporen en daardoor als bijgevolg ook efficiënter te werk gaan.

Een white box pentest, soms ook crystal box pentest genoemd, is een methode waarbij de tester volledige toegang krijgt tot het netwerk, en onder meer broncode en architectuur diagrammen kan inkijken en gevorderde rechten krijgt binnen het netwerk. In deze test wordt het volledige netwerk geëvalueerd op basis van kennis die niet ter beschikking staat van externe hackers. Hierdoor worden white box penetratietests vaak ingezet voor kleinere, doch bedrijfs kritische, applicaties.

Wat is het verschil tussen een pentest en een vulnerability scan?

Pentesting bestaat voornamelijk uit handmatige tests die worden uitgevoerd door ervaren, professionele en ethische hackers. Ze proberen risico’s te zoeken die anders onopgemerkt zouden blijven. Dit is erg moeilijk en vereist veel creativiteit en ervaring. Penetratietesten kunnen ook grotendeels geautomatiseerd zijn. Dan wordt dit vulnerability scanning genoemd (scannen op kwetsbaarheden). Vulnerability scanning mist vaak de intelligentie om kwetsbaarheden op te sporen die afwijken van deze bekende patronen. Scannen helpt uitstekend om bekende kwetsbaarheden snel te vinden.

 

In deze video leer je nog meer over een Pentest:

Kenmerken
  • Pentest staat voor Penetratie Test
  • Bij een penetratietest huurt een bedrijf een betrouwbare hacker in om kwetsbaarheden op te sporen
  • Deze kwetsbaarheden kunnen vervolgens verholpen worden
  • De veiligheid van een systeem wordt hier aanzienlijk mee verhoogd
  • Pentesten vereisten veel kennis en creativiteit van de uitvoerder

Tags

Computer
Telefoon

Dreigingsniveau

1

Hulp nodig van de experts van Baeten Security?

Onze experts zijn 24/7 beschikbaar. Bel nu voor het maken van een afspraak, stuur ons direct een bericht op Whatsapp of vul het contactformulier in.

Contact