Een penetratietest (pentest) is een technisch onderzoek waarbij kwetsbaarheden in een IT-beveiliging worden gedetecteerd en in kaart worden gebracht. Daarna wordt onderzocht welk risico de kwetsbaarheden vormen voor de beschikbaarheid, de integriteit en de vertrouwelijkheid van de betreffende informatiesystemen. Aan de hand van de resultaten wordt een advies uitgebracht dat kan dienen als richtlijn voor het verbeteren van de IT-beveiliging.
Pentesten is dé oplossing voor vragen als:
In 5 stappen uitgelegd
In overleg met de klant worden de onderzoeksvragen en de scope vastgesteld. Vervolgens wordt bepaald …
» Meer over PreparationAls eerst worden de kwetsbaarheden, die aan de hand van het CWE-systeem in het testplan zijn opgenomen …
» Meer over BaselineVervolgens starten de onderzoekers met het ‘Creative Hacking Process’. Hierbij wordt het onderzoeksobject …
» Meer over Creative processDe resultaten uit deze fase geven inzicht in de grootte van het beveiligingsrisico, de mogelijkheden voor mitigatie …
» Meer over InterpretationIn de laatste fase wordt de rapportage opgesteld. Deze rapportage bevat onder meer een uitgebreide toelichting …
» Meer over InformationDe werkwijze van REQON is gebaseerd op de volgende vijf standaarden:
Het Open Web Application Security Project is een open source-project rond computerbeveiliging. De Web Security Testing Guide van OWASP bevat een ‘best practice’ penetratietest-raamwerk en een ‘low level’ penetratietest-gids waarin technieken worden beschreven voor het testen van de meest voorkomende problemen met webapplicaties en webservicebeveiliging.
ISO/IEC 27002 is een informatiebeveiligingsstandaard gepubliceerd door de Internationale Organisatie voor Standaardisatie (ISO) en door de International Electrotechnical Commission (IEC). Deze standaard biedt ‘best practices’ voor informatiebeveiligings-controles.
Het NCSC is onderdeel van het ministerie van Justitie en Veiligheid. Als experts werken zij aan een digitaal veilig Nederland. Het NCSC heeft de handleiding ‘Pentesten doe je zo’ opgesteld. Het document is gericht op bedrijven die een penetratietest uit willen laten voeren. De handleiding biedt inzicht in een aantal belangrijke eisen en aandachtspunten waarop een potentiële klant kan letten. REQON gebruikt deze standaard om nauw op deze eisen aan te sluiten.
Het NIST (National Institute of Standards and Technology) is een instelling die onder de Amerikaanse federale overheid valt en standaarden en normen ontwikkelt voor Amerikaanse bedrijven. In de NIST SP 800 115 (Technical Guide to Information Security Testing and Assessment) staat onder andere het aanbevolen penetratietestproces beschreven.
De PCI DSS is een beveiligingsstandaard voor creditcardmaatschappijen. De standaard gaat onder andere over de eisen die aan een penetratietest worden gesteld. Daarbij wordt ook ingegaan op de kwetsbaarheden waarop getest dient te worden.
Neem dan contact op met het team van REQON.
Tel: +31 (0) 85 130 2448 E-mail: info@reqon.nl
ContactBedrijfspand Area071
Sisalbaan 5A
2352AZ Leiderdorp
The Netherlands