Vulnerability assessment / security test

Tijdens een vulnerability assessment (security test) maken wij gebruik van verschillende methoden om de technische security risico's van uw (web)applicaties en IT-infrastructuren te onderzoeken. Hierbij houden wij ook rekening met de zichtbaarheid van uw organisatie en de imagoschade die u door cybercrime zou kunnen oplopen. Ongeacht in welke sector uw organisatie zich bevindt.

De bevindingen van het onderzoek leggen wij vast in heldere rapportages met een duidelijke managementsamenvatting, een uitgebreide risicoanalyse per bevinding en aanbevelingen op strategisch, tactisch en operationeel niveau.

Binnen onze methodiek wordt gebruik gemaakt van tooling en fases, zoals reconnessaince, threat assessment en vulnerability scanning. Een belangrijke dimensie bij een security test is de mate waarin wij vooraf informatie hebben over, en inzicht hebben in, de te testen opjecten. Grofweg bestaan hierbij drie dieptes:

Black, grey of crystal box security test


Crystal box test
 

Onze consultants hebben van tevoren de beschikking over alle mogelijke informatie, zoals interne broncodes, configuratiebestanden en (ontwerp)documentatie. Deze test wordt ook wel white box test genoemd. Het grote voordeel van deze diepgaande testmethode is dat gecontroleerd kan worden hoe bepaalde zaken zijn opgelost. Is er een structurele oplossing gekozen, of worden er ad hoc “brandjes geblust”, is de software gedegen opgezet en goed gedocumenteerd? Deze kwaliteitsaspecten bepalen in hoge mate het toekomstige niveau van uw digitale veiligheid.
 
Black box test
 

Onze consultants krijgen (vrijwel) geen informatie vooraf. U kunt een black box test vergelijken met een aanval zoals digitale inbrekers zouden uitvoeren (binnen de beschikbare tijd). We verifiëren hiermee wat iemand zonder credentials kan doen. Is bijvoorbeeld de loginprocedure te omzeilen?

Grey box test

De grey box is een tussenvorm, waarbij onze consultants de beschikking hebben over credentials en mogelijk gebruikersdocumentatie. Hiermee gaan we na hoe een geregistreerde gebruiker misbruik kan maken van de IT-omgeving. Kan bijvoorbeeld de identiteit van een andere gebruiker of de applicatiebeheerder worden aangenomen? Is het mogelijk om toegang te verkrijgen tot gegevens waartoe men niet geautoriseerd is? Kunnen sessies worden overgenomen of sessie-identifiers worden geraden?

Een black, grey of crystal box security test is uitermate goed te combineren met een training on the job. Door uw medewerkers te betrekken bij het testen van de eigen applicatie, is het leereffect optimaal.

Pentest (penetratietest)

 

 

Een pentest (of penetratietest) lijkt op een black box security test, maar is toch wezenlijk anders. Waar we bij een security test binnen een bepaald tijdsbestek zoveel mogelijk kwetsbaarheden proberen te vinden, gaan we bij een pentest de diepte in om te zien of we een kwetsbaarheid kunnen uitbuiten om bijvoorbeeld verder te penetreren in uw IT-omgeving.

Everything you always wanted to know about IT security testing, but were afraid to ask

In opdracht van SURFnet heeft Secura begin 2016 een whitepaper geschreven over de verschillende aspecten van technische IT security testen.

@Secura 2018
Webdesign Studio HB / webdevelopment Medusa