Per dag worden uw ICT-systemen ongemerkt diverse malen bezocht door geautomatiseerde scanners van criminelen. Als uw ICT-systemen vervolgens kwetsbaarheden vertonen loopt u de kans een doelwit te worden van criminele organisaties. Voor de geconstateerde kwetsbaarheden in uw bedrijf bestaan mondiale markten waar kwetsbaarheden worden aangeboden en mogelijk worden verkocht. Wij kunnen u door middel van het uitvoeren van een penetratietest laten zien hoe een hacker te werk gaat en waar uw ICT-systemen kwetsbaar zijn voor mogelijk ongeautoriseerde toegang.
HACKING ON DEMAND
Wij hacken op verzoek. U kunt hier gebruik van maken door ons op uurbasis in te huren. Wij doen ons dan voor als (ethische) hacker en gaan inbreken op uw ICT-systemen. Dit heet een penetratietest of pentest.
Grey box, White box, Black box penetratietesten
Tijdens een penetratietest tracht een ethische hacker met uw toestemming de beveiliging van uw ICT-systemen te penetreren met als doel inzicht te verkrijgen in mogelijke risico’s en kwetsbaarheden. Penetratietesten kunnen worden uitgevoerd als Black box test, Grey box test of White box test.
Grey box testen is het penetratietesten, uitgevoerd met beperkte informatie over de interne werking van het systeem. Grey box testers hebben meer informatie dan black box testers en minder dan white box testers. Een white box test kan ook worden uitgevoerd als ware het een code review, alle informatie is dan beschikbaar voor de ethische hacker. Een black box test benadert het meest de realiteit van een echte hacker, echter is daarmede vaak niet efficiënt ten aanzien van het doel van het onderzoek. Bij een black box test verkrijgt de ethische hacker vooraf geen informatie.
Aanpak
Net als bij een ICT-security scan bepalen we voorafgaande aan de opdracht samen de objecten van onderzoek en wordt daarnaast het aantal uren afgesproken dat wij gaan testen. Objecten van onderzoek zijn bijvoorbeeld internet domeinen of IP-adressen waarop websites of webapplicaties zijn gehost.Tevens wordt het type pentest bepaald: Black, White, Grey.
Vervolgens zullen wij eerst globaal op zoek gaan naar voor een hacker relevante informatie door het actief en passief verkennen van de objecten van onderzoek. Met die kennis vindt een meer doelgerichte scan plaats waardoor mogelijke kwetsbaarheden steeds meer opportuun worden.De geconstateerde kwetsbaarheden worden geverifieerd en getest door aanvallen uit te voeren op de objecten van onderzoek. Dit levert vervolgens weer nadere informatie op die relevant kan zijn voor het ontdekken van nieuwe kwetsbaarheden et cetera. De ervaring leert dat een ethical hacker doorgaat totdat er voldoende aanknopingspunten zijn om het doelwit te penetreren. Hierbij worden tevens mogelijke false-positives gefilterd en op de juiste wijze geïnterpreteerd.
HACKING ON DEMAND platform
Voor het uitvoeren van penetratietesten maken wij gebruik maken van ons in eigen beheer ontwikkelde scanplatform. Ons intelligent ICT-security scanplatform kan op innovatieve wijze ‘geautomatiseerd hacken`. Op deze wijze worden de voor u belangrijke kwetsbaarheden automatisch gedetecteerd. In onze aanpak is dit de start van het manueel verder hacken van een doelwit.
Tevens hebben wij van alle kwetsbaarheden die wij ooit hebben gedetecteerd standaard rapportageregels opgemaakt. Van de geconstateerde kwetsbaarheden rapporteren wij een bevinding, oorzaak, risico en aanbeveling. De kwetsbaarheden worden vervolgens gecategoriseerd op basis van de internationale OWASP top 10. Hierbij gebruiken wij het risicoclassificatiesysteem CVSS. U verkrijgt met onze rapportages op deze wijze inzicht in de ernst van de kwetsbaarheid voor uw organisatie (critical; high; medium; low; note).
Service
Als u onze klant bent, zijn we altijd telefonisch te benaderen voor aanvullende vragen of toelichtingen.