Vulnerability Assessment / Penetration Testing (VAPT)

Bedrijven zijn steeds afhankelijker van data. Of het nu gaat om verkoop, R&D of hun daadwerkelijke productportfolio. Het beschermen van deze gegevens is essentieel, en vaak ook verplicht (bijvoorbeeld als het om persoonsgegevens gaat). Gegevens zijn toegankelijk voor geautoriseerde gebruikers via applicaties die bedrijfslogica en beveiligingsfuncties bevatten. Als er zwakke punten zijn in deze toegangslagen, ontstaan ​​er risico's voor het bedrijf. Om deze risico's onder controle te houden, is het noodzakelijk om de beveiligingsmaatregelen te beoordelen door hun effectiviteit te testen.

Binnen onze methodiek maken we gebruik van verschillende tooling en fasen, zoals verkenning, threat assessment, vulnerability assessments en vulnerability scans.

De uitkomsten van de beveiligingstest leggen we vast in een helder rapport met een beknopte managementsamenvatting, een uitgebreide risicoanalyse per bevinding en aanbevelingen op strategisch, tactisch en operationeel niveau.

Crystal box test

Onze consultants hebben van tevoren toegang tot alle relevante informatie, zoals interne broncodes, configuratiebestanden en (ontwerp) documentatie. Deze test wordt ook wel een white box test genoemd. Het grote voordeel van deze diepgaande beoordelingsmethode is het vermogen om te beoordelen hoe problemen zijn opgelost. Is er gekozen voor een structurele oplossing, of is er gebruik gemaakt van ad hoc 'brandbestrijding', is de software degelijk ontworpen en goed gedocumenteerd? Deze kwesties in kwaliteit bepalen in grote mate het niveau van uw digitale veiligheid.

Grey box test

De grey box is een tussenvorm, waarin onze consultants inloggegevens en eventueel gebruikersdocumentatie beschikbaar hebben. We gebruiken deze test om te beoordelen hoe een geregistreerde gebruiker misbruik kan maken van de ICT-omgeving. Is het mogelijk om de identiteit van een andere gebruiker of de applicatiebeheerder aan te nemen? Is het mogelijk om ongeautoriseerd toegang te krijgen tot gegevens? Is het mogelijk om een sessie over te nemen of sessie-ID's te raden?

Black box test

Bij een black box test krijgen onze consultants krijgen vooraf weinig tot geen informatie. De test is vergelijkbaar met een aanval door digitale indringers (binnen de beschikbare tijd). We gebruiken dit om te verifiëren wat er kan worden gedaan zonder inloggegevens. Is het bijvoorbeeld mogelijk om de inlogprocedure te omzeilen?

Penetration testing

Tijdens een penetratietest, of pentest, gebruiken onze consultants de beschikbare tijd om op zoek te gaan naar een zwakke plek in uw beveiliging en deze vervolgens te exploiteren, bijvoorbeeld om verder door te dringen in een LAN- of extranetomgeving. Het doel van een pentest is om zo duidelijk mogelijk te illustreren wat de gevolgen kunnen zijn van een bepaald probleem met uw ICT-beveiliging, en wat dat voor uw organisatie zou betekenen. Met een penetratietest kunnen we de ernst van IT-beveiligingsproblemen aantonen, zodat uw organisatie zich bewust wordt van de mogelijke gevaren. Veel organisaties kiezen ervoor om als direct resultaat van deze test een structurele aanpak van hun IT-beveiliging te implementeren.

Secura legt de uitkomsten van de penetratietest vast in een duidelijk rapport met een beknopte managementsamenvatting, een uitgebreide risicoanalyse per uitkomst en aanbevelingen op strategisch, tactisch en operationeel niveau.