Externe, op het internet zichtbare IT-systemen worden dagelijks aangevallen. Daarom moeten deze systemen vaak periodiek worden getest of wanneer belangrijke wijzigingen worden aangebracht. Gewoonlijk vormen kwetsbaarhedenscans de basis voor dergelijke beoordelingen, terwijl alle bevindingen handmatig worden geverifieerd en de risico's worden ingeschat. Het is echter ook mogelijk om dergelijke assessments uit te voeren op interne netwerken, en ook op zeer specifieke delen van de infrastructuur (zoals de e-mailinfrastructuur of VPN-infrastructuur).
Secura gebruikt geautomatiseerde scanners zoals 'nmap' en Nessus om actieve hosts en services binnen het gegeven bereik te identificeren. Gespecialiseerde tools worden vervolgens uitgevoerd om diensten te identificeren (een proces dat "fingerprinting" wordt genoemd), zoals voor FTP-servers, SSH-servers, SIP-servers of databaseservers. Na 'fingerprinting' worden specifieke kwetsbaarhedenscanners voor de geïdentificeerde dienst gebruikt. De output van deze scanners wordt gevalideerd en 'false positives' worden verwijderd, zodat onze rapporten accuraat zijn. Indien relevant zullen we fuzzing-technieken gebruiken om kwetsbaarheden te identificeren die tot ongeoorloofde toegang zouden kunnen leiden.
Als wij webservers identificeren, zullen wij deze ook scannen met specifieke webapplicatie-kwetsbaarheidsscanners. Indien de tijd het toelaat, zullen wij ook de publiek toegankelijke delen van de webapplicaties testen op beveiligingsproblemen.
Indien we kwetsbaarheden vinden waarvoor exploits beschikbaar zijn, kan Secura deze toepassen op de doelsystemen om het bestaan van de kwetsbaarheid te verifiëren, indien dit vooraf is afgesproken. Secura gebruikt hiervoor zowel tools als handmatige penetratietesttechnieken. Afhankelijk van de situatie kan dit leiden tot volledige controle over het systeem. Secura zal deze aanvallen alleen uitvoeren na overleg met de klant en wanneer beide partijen besluiten dat de risico's acceptabel zijn. Secura volgt standaard pentest methodologieën zoals PTES en OSSTMM voor een infrastructuur assessment.
