Pentest laten uitvoeren: wanneer is een penetratietest nuttig?

18 mei 2020

De actuele toename in cyberdreigingen, ransomware-aanvallen en datalekken zorgen ervoor dat het belang van IT-veiligheid niet te onderschatten is. Een methode om te checken hoe veilig de IT-infrastructuur van jouw kmo in elkaar zit, is pentesting.

Wat is een pentest?

Een pentest, ook wel penetratietest of binnendringingstest genoemd, controleert computersystemen en software op kwetsbaarheden die hackers in staat kunnen stellen om binnen te dringen. De pentester, ook wel ethical hacker genoemd, spoort deze kwetsbaarheden op door precies dezelfde methodieken te gebruiken als cybercriminelen. Een penetratietest vindt steeds plaats met toestemming van het bedrijf waarvan de computerinfrastructuur getest wordt, en heeft als doel om vervolgens acties te ondernemen om de IT-veiligheid te verhogen.

Hoe gaat een penetratietest in zijn werk?

Eerst brengt de pentester de IT-infrastructuur in kaart. Vervolgens gaat hij op zoek naar mogelijke kwetsbare onderdelen binnen de infrastructuur. Hierna probeert de ethische hacker de kwetsbare systemen één voor één binnen te dringen om zo verder op zoek te gaan naar gevoelige of geheime informatie. Om in te breken in deze computersystemen maakt de pentester gebruik van betrouwbare hackingtools, van redeneringstechnieken die hackers gebruiken én van zelf ontwikkelde methodieken.

Kort samengevat: penetratietesters zullen de werkwijze van een hacker met slechte bedoelingen simuleren in een veilige omgeving met als doel na te gaan hoe diep een cybercrimineel in het netwerk kan graven en tot bij welke delicate data hij toegang kan verwerven.

Welke soorten pentests bestaan er?

Afhankelijk van de scope en het doel van de vraag, kunnen er verschillende soorten penetratietests worden toegepast. De meest courante zijn de volgende:

Vulnerability assessment

Een vulnerability assessment of een kwetsbaarheidsbeoordeling is het proces van het identificeren, kwantificeren en prioriteren van de kwetsbaarheden in een systeem. Deze check-up, die in de meeste gevallen trouwens volledig geautomatiseerd verloopt, spoort bekende veiligheidsfouten in IT-systemen op. De scan test echter niet of de opgespoorde kwetsbaarheden ook daadwerkelijk uitgebuit kunnen worden om toegang te verkrijgen tot gevoelige informatie. Het is daarmee een light-versie van een pentest. Het vormt daarmee een goede start maar is slechts het eerste opstapje naar een diepgaande pentest.

Bij een volledige pentest worden kwetsbaarheden zowel handmatig als geautomatiseerd opgespoord.

Black box pentest

Bij een black box pentest krijgt de ethical hacker op voorhand geen informatie over de aanwezige IT infrastructuur. Wel wordt er een scope afgesproken waarbinnen het onderzoek zal plaatsvinden. De pentester zal een inbraakpoging ondernemen in de IT-omgeving van het bedrijf alsof hij een niet-geïnformeerde hacker is. Deze black box pentest is voornamelijk handig wanneer je voor het eerst een test wil laten uitvoeren en graag een algemeen beeld wilt laten vormen van het IT-veiligheidsniveau.

Grey box pentest

De grey box pentest gaat op het gebied van diepgang iets verder dan de black box pentest. De ethical hacker ontvangt beperkte toegang; er wordt bijvoorbeeld een klantenaccount of een medewerkersaccount ter beschikking gesteld om in te werken. Naast de kans op hacking kan er met een grey box pentest ook worden nagegaan hoe veilig een omgeving is vanuit het perspectief van een medewerker of klant.

White box pentest

De meest grondige pentest is de white box pentest. Bij deze test krijgt de ethical hacker op voorhand goed gedocumenteerde informatie over het netwerk en de infrastructuur van de onderneming. Ook hier wordt vervolgens de reikwijdte afgesproken om zo gericht mogelijk te werk te gaan.

Grey box pentesten en white box pentesten zijn ideaal voor ondernemingen die een duidelijk beeld willen krijgen van hun beveiliging binnen een realistisch scenario.

Is pentesting echt zo interessant voor kmo’s en grote bedrijven?

Pentests leveren waardevolle inzichten op waarmee organisaties hun IT veiligheid kunnen versterken. Dit kan in verschillende situaties erg nuttig zijn. Denk bijvoorbeeld aan een eindcontrole na de installatie van nieuwe IT infrastructuur of na de ingebruikname van een nieuwe webapplicatie.

De penetratietests zijn verder erg nuttig voor ondernemingen die sterk afhankelijk zijn van een goede beschikbaarheid van hun digitale tools. Wanneer hun digitale continuïteit in het gedrang komt, heeft dit ernstige economische en financiële gevolgen. Vandaag zetten bedrijven uit alle sectoren in op digitalisering. Denk aan zakelijke dienstverleners, creatieve beroepen, vrije beroepen, bedrijven in de gezondheidszorg of bouwbedrijven,… Allen hebben ze er baat bij om vertrouwelijk om te gaan met hun kostbare gegevens.

In tijden dat privacy en gegevensbescherming sterker op de agenda staan (ondermeer na de invoer van de GDPR), wordt het belangrijk om de integriteit en vertrouwelijkheid van de verwerkte gegevens te waarborgen.

Vaak wordt er wel geïnvesteerd in een geüpdatet privacybeleid, herwerkte algemene voorwaarden en enkele fysieke maatregelen zoals een shredder en afgesloten kasten. Weet dat ook de veiligheid van je website, je cloudomgeving, je software, je server en hele IT infrastructuur op punt moeten staan om te voldoen aan de wettelijke plichten. En laat dit net zijn waar het digitale schoentje dikwijls knelt.

Mijn advies? Laat een periodieke pentest of ethische hack uitvoeren om het algemene securityniveau kritisch te evalueren, zowel nu als in de toekomst. Het is de ideale beproeving om proactief te achterhalen hoe veilig de IT infrastructuur van jouw bedrijf is. Eens er een werkelijke hack, vaak gevolgd door een datalek, plaatsvindt loopt de gevolgschade aanzienlijk op.

Hoe is het met de veiligheid van jouw IT-omgeving gesteld? Chat erover met een van onze ethical hackers of cybersecurity adviseurs. We informeren je graag!

Direct chatten

Danny Daniëls

Danny Daniëls

Data Protection Officer & Ethical Hacker

De technische stuwkracht achter Datalink is Danny Daniëls. Als Netwerkarchitect bedenkt, bouwt en onderhoudt hij de IT architectuur van kmo's, en ontwikkelt hij cloud infrastructuren. Dankzij zijn specialisatie als Data Protection Officer en Ethical Hacker heeft hij een onwaarschijnlijk kennisniveau op het gebied van databeveiliging.