Penetratietesten en Ethisch Hacken

Een penetratietest, ook wel pentest of ethisch hacken genoemd, is een geautoriseerde gesimuleerde cyberaanval op een IT/OT-systeem die wordt uitgevoerd om de cyberbeveiliging van een digitaal systeem te evalueren. Bij Kiwa voeren we pentesten op maat uit, waarvan de resultaten waardevolle beveiligingsinzichten opleveren. Zeker in deze tijden waarin cybersecurityincidenten regelmatig voorkomen, is het pentesten van systemen een absolute must.

Ontvang een offerte op maat

+31 (0)88 998 33 70 Neem contact met ons op Offerte aanvragen

Kiwa’s penetratietesten betekenen een rigoureuze test van de cybersecurity van systemen met als doel om mogelijke kwetsbaarheden en zwakke punten te ontdekken. Op deze manier krijgt u een goed beeld van de bijbehorende risico's en bedreigingen die mogelijk schadelijk kunnen zijn voor uw bedrijf, organisatie of systeem. De experts van Kiwa combineren specifieke branchekennis met uitgebreide beveiligingservaring, waardoor we een organisatie, bedrijf of systeem grondig kunnen verkennen vanuit het perspectief van een hacker en rigoureuze penetratietests kunnen uitvoeren.

Wat is penetratietesten of ethisch hacken?

Een penetratietest, niet te verwarren met een vulnerability assessment, bestaat uit twee delen:

Simulatie
Het eerste deel is het simuleren van een hack of een cyberaanval op een organisatie of bedrijf via een of meer van hun systemen. Daarbij proberen Kiwa’s ethische hackers toegang te krijgen tot de ‘kroonjuwelen’ van de organisatie (bijvoorbeeld de persoonlijke gegevens van klanten) door gebruik te maken van mogelijke kwetsbaarheden. Uiteraard wordt deze gesimuleerde aanval uitgevoerd volgens vooraf afgesproken spelregels.
Rapportage
Het tweede deel van de penetratietest bestaat uit het rapporteren over de gevonden kwetsbaarheden. Deze kwetsbaarheden kunnen mogelijk schadelijk zijn voor de organisatie of het bedrijf en zijn onderverdeeld in verschillende risiconiveaus. De rapporten die Kiwa na de gesimuleerde aanval oplevert, omvatten onder meer:
- Een samenvatting die de algemene context van de bevindingen van onze penetratietest illustreert;
- Een overzicht van en uitgebreide uitleg over de gevonden beveiligingsproblemen en kwetsbaarheden;
- De bijbehorende risiconiveaus met betrekking tot de mogelijke impact.

Soorten pentests die Kiwa aanbiedt

Een penetratietest kan drie verschillende formats hebben. Bij elk daarvan wordt een andere benadering gehanteerd voor het simuleren van een cyberaanval:

‘White box’ penetratietest
Alle benodigde informatie (zoals systeeminformatie, toegang tot high level privilege accounts, broncode, etc.) wordt vooraf aan Kiwa verstrekt. Met deze info komt Kiwa tot een plan om de exploitatie uit te voeren om de kroonjuwelen te bereiken.
‘Black box’ penetratietest
Kiwa heeft géén inside informatie over het systeem dat moet worden getest. Algemeen beschikbare informatie over dit systeem (bijvoorbeeld te vinden via Google) is de basis waarop Kiwa zal proberen het systeem binnen te dringen en toegang te krijgen tot de kroonjuwelen.
‘Grey box’ penetratietest
Een combinatie van de vorige twee waarbij beperkte kennis van het doelwit wordt gedeeld met Kiwa. Denk daarbij aan architectuur, achtergrondinformatie en toegang tot low level privilege accounts.

Kiwa FSS_Leaflet Pentesten_Illustratie_Boxen_Web.jpg

Wat kan er gepentest worden?

Mobiele apps;
Web apps;
Digitale producten (IoT-apparatuur);
Ecosystemen en of installaties die bestaan uit een heterogene verzameling van apparaten en systemen;
Netwerken.

Processtappen

1. Scoping

Kiwa en de opdrachtgever komen een aantal belangrijke punten overeen, zoals de reikwijdte van de test, het algemene doel, het doel, de tijdspanne, de spelregels, kroonjuwelen etc.

2. Intelligence Gathering

Kiwa zal verschillende bronnen gebruiken om zoveel mogelijk informatie over het doelwit te verzamelen, waaronder het onderzoeken van de organisatie, het genereren van threat intelligence en andere relevante informatie die van pas kan komen in de exploitfase (stap 4).

3. Vulnerability Analysis

Kiwa identificeert de kwetsbaarheden van het doelnetwerk. De penetratietester stuurt ‘sondes’ naar het doelnetwerk, verzamelt voorlopige informatie en gebruikt de feedback om een aanvalsplan te ontwikkelen.

4. Exploitation

Kiwa probeert in te breken in het systeem volgens de afspraken die in de scopingfase zijn gemaakt.

5. Post-exploitation

Elk misbruikt systeem wordt opgeschoond na het verzamelen van gegevens voor het testrapport. Dat betekent dat alle agents, scripts, tijdelijke bestanden, etc. worden verwijderd. Dit zorgt ervoor dat al het geïnstalleerde 'aanvalsmateriaal' wordt verwijderd en dat de systeemconfiguratie wordt teruggebracht naar de staat van vóór de test.

6. Reporting

Op basis van de bevindingen van de voorgaande fasen en een gedegen analyse worden de resultaten van de penetratietest op gestructureerd en begrijpelijk gerapporteerd.

7. Executive Summary/Debriefing

Het rapport van stap 6 wordt grondig besproken met de klant.

Zet de extra stap in het beschermen van uw bedrijf

Met digitalisering, internettechnologie en alles eromheen is cybersecurity iets geworden waar geen enkele organisatie omheen kan. Kiwa's penetratietesten zijn gericht op elke organisatie die diensten levert via internet en producten maakt die verbonden kunnen worden met het internet. Er kunnen veel verschillen zijn tussen dit soort systemen, diensten en producten en daarom stemmen de pentesting-experts van Kiwa hun dienstverlening af op de karakteristieken van een organisatie. Zo geven de uitkomsten van de penetratietest reële en bruikbare inzichten in de beveiliging van de organisatie.

Waarom Kiwa?

Kiwa is een vertrouwde en onafhankelijke derde partij die testen uitvoert die de basis vormen voor gegarandeerde kwaliteit. Al jaren testen en certificeren we HVAC-onderdelen en -systemen, voeren we FPC-audits uit in fabrieken en beoordelen we de medewerkers die daarbij betrokken zijn. Systemen en organisaties digitaliseren in toenemende mate en hetzelfde geldt voor onze manier van testen en inspecteren. Omdat cyberbeveiliging in ons digitale tijdperk essentieel is, levert Kiwa hoogwaardige, penetratietests en ethical hacking services. Wij zijn uw Partner for Progress!

Gerelateerde diensten

ETSI EN 303 645: beveiliging IoT consumentenelectronica

We leven in een wereld die steeds meer ‘connected’ is. We hebben ‘slimme’ koelkasten, verlichting, tv’s en rookmelders, onze kinderen hebben speelgoed dat verbonden is met internet en we peilen onze fitheid met online gezondheidstrackers. Al deze Internet of Things (IoT)-producten kunnen privacyrisico’s met zich meebrengen en aandacht voor goede beveiliging is dan ook een must.

Certificering Remote Access for Remote Services (RARS)

In onze steeds digitaler wordende wereld zijn meer en meer dagelijkse toepassingen, van deurbellen tot koelkasten, verbonden met internet. Hierdoor worden cyberveiligheid en cybersecurity steeds meer een issue. Hoe kunt u uw klanten ervan verzekeren dat uw producten beveiligd zijn tegen cybercrime? Door ze te certificeren volgens Kiwa’s certificatieschema Remote Access for Remote Services (RARS).

IEC 62443 certificering: Cybersecurity voor Industrial Automation & Control Systems (IACS)

De IEC 62443-standaard is bedoeld om Industrial Automation & Control Systems (IACS) te beveiligen. Het biedt een systematische en praktische aanpak die elk aspect van cyberbeveiliging voor industriële systemen omvat.

Aanvullende informatie

PDF