Pentest: wat is het en waarom zet je deze in?

Pentest: wat is het en waarom zet je deze in?

18 oktober 2021

Hoe is het met de informatiebeveiliging in uw organisatie gesteld? Een pentest is een tool om hierin inzicht te krijgen. Onze IT security specialist Lucas Vousten legt uit wat een pentest is, hoe het in zijn werk gaat en wat het belang van een pentest is voor u als ondernemer.

Zeg, Lucas, je hoort de laatste tijd veel over pentesting. Wat is het precies?

Een pentest, afkorting van penetratietest, is een test die wordt uitgevoerd om te toetsen hoe sterk de beveiliging van een IT omgeving is ingericht. Dit kan een website zijn, een applicatie, een ERP systeem maar ook een fysieke locatie. We onderzoeken hoe makkelijk het is om van buitenaf binnen te dringen. We identificeren de zwakke plekken in de betreffende applicatie of het systeem. Dus eigenlijk is het legaal of ethisch hacken in opdracht van de klant.

 

Hoe gaat dat dan precies in z’n werk, zo’n pentest?

Het is uiteraard afhankelijk van de vraag van de klant. Wil de klant dat we alleen binnen proberen te komen of echt tot specifieke informatie komen? Er zijn namelijk drie vormen van pentests:

 

  • Black-box: de pentester krijgt geen informatie over de IT omgeving, je weet als tester niks en probeert ‘gewoon’ binnen te komen. Of het via een webportaal of phishingmail is;
  • Gray-box: de pentester krijgt een globaal inzicht in de IT omgeving. Je krijgt als tester een valide inlogaccount van bijvoorbeeld een website;
  • White-box: de pentester krijgt inzicht in alle systemen en technieken die zijn gebruikt. De organisatie van onderzoek geeft alles open en vrij. Je krijgt de hoogste rechten om te onderzoeken waar de gebreken in information security zitten.

 

Wat is het belang van een pentest voor een onderneming/ondernemer?

Ons doel is te achterhalen waar kwetsbare plekken zitten. Hoe meer je van de omgeving weet, hoe makkelijker je de vinger op kwetsbaarheden kunt leggen. Als ondernemer wil je zoveel mogelijk informatie binnen het bedrijf houden. Deze informatie moet niet van buitenaf te benaderen zijn met als doel dat een echte aanvaller zo ‘black’ mogelijk is. Een foutmelding weergave geeft een aanvaller bijvoorbeeld informatie die hij kan gebruiken als puzzelstukje in zijn aanvalsplan. Dat gebeurt steeds gerichter, dus wees voorbereid.

 

Zelf voorkomen is beter dan genezen inderdaad. Is een pentest dan een soort securitytest?

Een pentest is niet helemaal hetzelfde als een securitytest. Als ondernemer wil je voorkomen dat aanvallers überhaupt binnenkomen. De buitenkant moet een voldoende dikke laag hebben. Dat testen we met zo’n pentest. De securitytest is meer gericht naar de binnenkant. We kijken naar de binnenkant van een applicatie of systeem om te zien of het op orde is. Denk aan: missen er updates? Is de software juist geconfigureerd? Zijn wachtwoordinstellingen goed toegepast? Houden mensen zich aan het wachtwoordbeleid?

 

Dus security is niet alleen techniek?

Nee, zeker niet. Het gaat ook over procedures en menselijk gedrag. Een onderneming kan een goed beleid hebben, maar als dit niet wordt nageleefd werkt het niet. De basis infrastructuur moet sterk zijn. Dat maakt het aanvalsoppervlak kleiner.

 

Moet je een pentest vaker laten doen om het aanvalsoppervlak te verkleinen?

Eenmalig gaat het nooit zijn. Afhankelijk van risico’s en ontwikkelingen zul je het vaker moeten (laten) doen. Techniek verandert continu, maar ook de wereld om ons heen. Vaak zijn ondernemingen afhankelijk van derden voor bepaalde applicaties en systemen. Die kunnen ook bugs bevatten. Pentests zullen dan ook over de jaren herhaald moeten worden om te weten hoe ‘black’ the box is voor potentiële aanvallers. Ondernemers kunnen met onze resultaten aan de slag om hun cybersecurity te verbeteren.

 

Joanknecht IT-assurance

Hoe is cybersecurity in uw organisatie georganiseerd? Heeft u er alles aan gedaan om het aanvalsoppervlak van uw organisatie te verkleinen? Onze IT-auditors en cybersecurity specialisten begeleiden u graag bij deze vraagstukken. Neem gerust contact op met specifieke vragen over uw situatie.

 

Lucas Vousten | +31 (0)40 240 9516 | lvousten@joanknecht.nl

 

Ties Meesters | +31 (0)40 240 9459 | tmeesters@joanknecht.nl