Security- en pentesten

Onderzoek naar de veiligheid van uw IT-omgeving is maatwerk. Secura kijkt met u naar uw specifieke wensen en naar de onderdelen die van vitaal belang zijn voor uw bedrijfsvoering. Wij maken gebruik van verschillende methoden om de technische security risico's van uw (web)applicaties en IT-infrastructuren te onderzoeken. Hierbij houden wij ook rekening met de zichtbaarheid van uw organisatie en de imagoschade die u door cybercrime zou kunnen oplopen. Ongeacht in welke sector uw organisatie zich bevindt.

De bevindingen van de security test leggen wij vast in heldere rapportages met een duidelijke managementsamenvatting, een uitgebreide risicoanalyse per bevinding en aanbevelingen op strategisch, tactisch en operationeel niveau.

Binnen onze methodiek wordt gebruik gemaakt van tooling en fases, zoals reconnessaince, threat assessment, vulnerability assessment en vulnerability scanning. een belangrijke dimensie bij het testen is de mate waarin wij vooraf informatie hebben over, en inzicht hebben in, de te testen opjecten. Grofweg bestaan hierbij drie dieptes:

Crystal box test

Onze consultants hebben van tevoren de beschikking over alle mogelijke informatie, zoals interne broncodes, configuratiebestanden en (ontwerp)documentatie. Deze test wordt ook wel white box test genoemd. Het grote voordeel van deze diepgaande testmethode is dat gecontroleerd kan worden hoe bepaalde zaken zijn opgelost. Is er een structurele oplossing gekozen, of worden er ad hoc “brandjes geblust”, is de software gedegen opgezet en goed gedocumenteerd? Deze kwaliteitsaspecten bepalen in hoge mate het toekomstige niveau van uw digitale veiligheid.

Black box test

Onze consultants krijgen (vrijwel) geen informatie vooraf. U kunt een black box test vergelijken met een aanval zoals digitale inbrekers zouden uitvoeren (binnen de beschikbare tijd). We verifiëren hiermee wat iemand zonder credentials kan doen. Is bijvoorbeeld de loginprocedure te omzeilen?

Grey box test

    
De grey box is een tussenvorm, waarbij onze consultants de beschikking hebben over credentials en mogelijk gebruikersdocumentatie. Hiermee gaan we na hoe een geregistreerde gebruiker misbruik kan maken van de IT-omgeving. Kan bijvoorbeeld de identiteit van een andere gebruiker of de applicatiebeheerder worden aangenomen? Is het mogelijk om toegang te verkrijgen tot gegevens waartoe men niet geautoriseerd is? Kunnen sessies worden overgenomen of sessie-identifiers worden geraden?

Een black, grey of crystal box security test is uitermate goed te combineren met een training on the job. Door uw medewerkers te betrekken bij het testen van de eigen applicatie, is het leereffect optimaal.

Penetratietest

 

 

Een penetratietest (of pentest) spreekt het meest tot de verbeelding. De consultants van Secura gaan in de beschikbare tijd op zoek naar een zwakke plek in uw beveiliging en proberen deze vervolgens uit te buiten om bijvoorbeeld verder te penetreren in een LAN- of extranet-omgeving.


Uitbuiten van kwetsbaarheden

Een penetratietest van Secura lijkt op een black box test (zoals hierboven beschreven), maar is toch wezenlijk anders. Of er nog andere zwakke plekken zijn, is van secundair belang. Het doel van de penetratietest is zo goed mogelijk aan te tonen waar een bepaald probleem in uw IT security toe kan leiden en wat dat betekent voor uw organisatie. Met een penetratietest kunnen wij de ernst van IT security problemen aantonen, zodat uw organisatie zich bewust wordt van de mogelijke gevaren. Naar aanleiding van de resultaten van deze test kiezen veel organisaties dan ook voor een structurele aanpak van hun IT security.

Secura legt de bevindingen van de penetratietest vast in heldere rapportages met een duidelijke managementsamenvatting, een uitgebreide risicoanalyse per bevinding en aanbevelingen op strategisch, tactisch en operationeel niveau.

Everything you always wanted to know about IT security testing, but were afraid to ask

In opdracht van SURFnet heeft Secura begin 2016 een whitepaper geschreven over de verschillende aspecten van technische IT security testen.

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa