Prevent

Pentesten

REQON test uw IT-omgeving op zowel bekende als nieuwe kwetsbaarheden. Vervolgens wordt er een maatwerk advies uitgebracht, gericht op de mitigatie van de gedetecteerde kwetsbaarheden. Aan de hand van dit advies kunt u gericht maatregelen implementeren om het beveiligingsniveau van uw IT-omgeving te verhogen.

Beveiligen tegen geavanceerde dreigingen vereist maatwerk

Technische maatwerk beveiligingsonderzoeken

Een penetratietest (pentest) is een technisch onderzoek met als doel het detecteren van aanwezige kwetsbaarheden in een IT/OT-beveiliging. Er wordt hierbij onderzocht welke risico’s de gedetecteerde kwetsbaarheden vormen voor de beschikbaarheid, de integriteit en de vertrouwelijkheid van de aanwezige informatiesystemen en/of operationele systemen. De uitvoering van een pentest wordt altijd volledig aangepast op de situatie van de betreffende omgeving. Aan de hand van de resultaten van een pentest, brengen de experts van REQON een advies uit gericht op het verbeteren van de IT-beveiliging.

Maatwerk onderzoek De uitvoering van het onderzoek is volledig toegespitst op uw IT-omgeving.
Duidelijke rapportage De kwetsbaarheden worden zowel vanuit een technisch oogpunt als vanuit een risico-context gerapporteerd.
Brede expertise Het team van experts wordt samengesteld op basis van uw security vraagstuk.

Expertisegebieden

Mobile apps

REQON heeft jarenlange ervaring met het pentesten van mobiele apps, zoals native apps (Kotlin, Java, Swift Objective C) en apps ontwikkeld in cross platform frameworks zoals Xamarin, Maui, Cordova en React.

Expertisegebieden

Hardware

Wilt u weten of de door uw organisatie gebruikte hardware kwetsbaarheden bevat? De experts van REQON kunnen hierop een uitgebreide pentest uitvoeren. Hierbij gaat de aandacht onder andere uit naar hardware gerelateerde kwetsbaarheden zoals fault injection, volt glitching en Secure Boot misconfiguraties.

Expertisegebieden

OT/Embedded systemen

De experts van REQON voeren regelmatig pentesten uit op embedded en OT systemen. Denk hierbij aan PLC’s, SCADA-apparatuur en alarmsystemen.

Expertisegebieden

Webapplicaties

REQON test per jaar meer dan 50 webapplicaties en heeft ervaring met vrijwel alle gebruikte webframeworks.

Expertisegebieden

Endpoint hardening

Wilt u weten of uw werkplekken of servers adequaat zijn gehardend? Vraagt u zich af of uw VDI-omgeving beveiligingskwetsbaarheden bevat? Om zicht te krijgen op het beveiligingsniveau kunt u een penetratietest op deze endpoints uit laten voeren. Na afronding van de test ontvangt u, naast een overzicht van de resultaten, een uitgebreid advies gericht op het verbeteren van de beveiliging van de endpoints.

Expertisegebieden

Netwerken & (Azure) AD

Wilt u weten of uw netwerk en Active Directory adequaat zijn beveiligd? Dan is een pentest op uw interne netwerk en Active Directory hiervoor zeer geschikt. Tijdens deze pentest onderzoeken de experts van REQON wat de impact is van een incident waarbij de inloggegevens van een medewerker via bijvoorbeeld phishing zijn buitgemaakt. Binnen dit scenario wordt ervan uitgegaan dat de credentials van de medewerker worden misbruikt om de toegang binnen de omgeving te vergroten.

In vijf stappen

Het proces van pentesten uitgelegd

Stap 1/5

Preparation

In overleg met de klant worden de onderzoeksvragen en de scope vastgesteld. Vervolgens wordt bepaald op welke categorieën van het Common Weakness Enumeration-systeem (CWE) het onderzoekobject getest zal worden. Het CWE-systeem wordt gebruikt om kwetsbaarheden in de software te verdelen in verschillende categorieën. Door te bepalen welke specifieke categorieën getest moeten worden, kan de test doelgerichter en gestructureerder uitgevoerd worden. Aan het eind van deze fase wordt alles vastgelegd in een testplan.

Stap 2/5

Baseline

De kwetsbaarheden, die aan de hand van het CWE-systeem in het testplan zijn opgenomen, worden gevalideerd en indien aanwezig ook geëxploiteerd. Aan het eind van deze fase wordt voor elke kwetsbaarheid een proof of concept opgesteld.

Stap 3/5

Creative Hacking Process

In deze fase voeren de onderzoekers het ‘Creative Hacking Process’ uit. Hierbij wordt het onderzoeksobject vanuit verschillende perspectieven benaderd en aan de hand van uiteenlopende (nieuwe) technieken onderzocht. Dit heeft als doel om ook de aanwezige kwetsbaarheden die niet volgens het CWE-systeem zijn gecategoriseerd aan het licht te brengen. Zoals in fase 2 wordt er ook in deze fase voor elke kwetsbaarheid een proof of concept opgesteld.

Stap 4/5

Interpretation

De resultaten uit deze fase geven inzicht in de grootte van het beveiligingsrisico, de mogelijkheden voor mitigatie en de complexiteit van het mitigatieproces. Een deel van de resultaten wordt verkregen aan de hand van het Common Vulnerability Scoring System.

Stap 5/5

Information

In de laatste fase wordt de rapportage opgesteld. Deze rapportage bevat onder meer een uitgebreide toelichting van de gevonden kwetsbaarheden, een risico- en aanbevelingsmodel en een onafhankelijk advies gericht op het verbeteren van de beveiliging.

Expertise vanaf de intake

Effectieve voorbereiding

Tijdens het voorbereidingsgesprek helpen de experts van REQON u onder andere met het vaststellen van de scope, zodat de resultaten van het onderzoek antwoord geven op uw specifieke security vraagstuk.

Daarnaast beantwoorden de experts al uw vragen met betrekking tot het uit te voeren onderzoek. Zo bent u voorafgaand aan het onderzoek volledig op de hoogte van het proces dat de experts gaan doorlopen.

  • Welke experts voeren de pentesten uit?

    De experts zijn allen in een vast dienstverband werkzaam bij REQON. Zij beschikken over het OSCP-certificaat en hebben een VOG overlegd. Daarnaast is het merendeel van de experts door de AIVD gescreend (VGB screening) op niveau A.

  • Hoe wordt de scope voor de pentest vastgesteld?

    Het correct vaststellen van het specifieke security vraagstuk en de betreffende scope is van groot belang voor de kwaliteit van de pentestdienst. De experts van REQON stellen hiervoor gerichte vragen en adviseren u, indien nodig, over het beperken of uitbreiden van de scope.

  • Wat is de doorlooptijd van een pentesttraject?

    De doorlooptijd van een pentest is sterk afhankelijk van de omvang van de scope. Gemiddeld is de doorlooptijd van een pentest uitgevoerd door REQON 1 à 2 (werk)weken.

Teamwork REQON

Certificering en standaarden

Kwaliteit geborgd in onze organisatie

Kwaliteit vormt de hoeksteen van de dienstverlening van REQON.

Om dit aantoonbaar te maken beschikt REQON over verschillende keurmerken en certificeringen zoals ISO 27001, ISO 9001 en het CCV keurmerk pentesten.

Wilt u meer informatie?

Neem dan contact op met het team van REQON

Bel REQON info@reqon.nl