Pentest uitvoeren bij Tozetta?
- Digitale kwetsbaarheden in kaart
- Transparant pentest proces
- Direct contact met pentester
- Uitgebreid pentest rapport
- Gecertificeerde Pentester (OSCP)
- Betaalbaar & Snelle oplevering
Pentest
Wat is een pentest, en wie voert een pentest eigenlijk uit? Dit zijn vragen die wij veel voorbij horen komen bij Tozetta. Daarom vertellen wij op deze pagina alles over pentesten. Is je vraag nog steeds onbeantwoord of neem je liever contact op? Wij staan jou graag te woord!
Wat is een pentest?
Een pentest kan o.a. worden uitgevoerd op jullie bedrijfsnetwerk, site en/of (mobiele)applicaties. Het doel is om kwetsbaarheden inzichtelijk te maken en de huidige online weerbaarheid te toetsen. Tijdens een pentest gaat een ethisch hacker handmatig op zoek naar fouten in jullie systemen. Een ethisch hacker werkt op eenzelfde wijze als een ”echte hacker”. De gevonden kwetsbaarheden worden aangeleverd in een rapport inclusief verbeterplan. Zo hebben jullie inzichtelijk wat verbeterd moet worden om cybercriminelen te weren.
Hoe werkt een pentest?
Met een flinke dosis creativiteit en het gebruik van talloze methodes kunnen de ethisch hackers een pentest uitvoeren. Denk hierbij aan Black Box Pentesten, Grey Box Pentesten & White Box Pentesting. Onderaan deze pagina vind je meer over deze methodes. Daarnaast moet voor het uitvoeren van een pentest een scope worden bepaald. Want, welke applicaties of systemen gaat Tozetta testen, hoelang duurt de pentest en wat zijn jullie verwachtingen van dit onderzoek? Een Ethisch Hacker van Tozetta probeert binnen de gestelde kaders en met jullie goedkeuring binnen te dringen.
Wie voert een pentest uit?
Een pentest wordt uitgevoerd door een ethisch hacker. Een Ethisch Hacker werkt net als een ”echte hacker” alleen wil de hacker van Tozetta jullie online weerbaarheid verbeteren. Tijdens een pentest probeert de hacker handmatig binnen te dringen binnen jullie systemen of applicaties. Door te zoeken naar kwetsbaarheden en hiervoor een flinke dosis creativiteit te gebruiken kan de hacker mogelijk binnendringen. In het geval van Tozetta zijn de Ethisch Hackers hoog opgeleid. De hackers hebben het Offensive Security Certified Professional certificaat (OSCP)
Ian van der Wurff
Lead Pentest
Waarom pentesten?
Het uitvoeren van een pentest kan veel betekenen voor een bedrijf. De cijfers hierboven liegen er niet om… Cybercriminaliteit wordt steeds populairder. Veel Nederlandse bedrijven doen nog (te) weinig aan hun Cyber Security. Door het uitvoeren van een pentest breng je kwetsbaarheden van je netwerk, systemen of applicaties inzichtelijk voordat hackers dit doen. Waarom pentesting relevant is..?
- Het test en beoordeeld de Cyber Security van jouw systemen en applicaties
- Het maakt kwetsbaarheden inzichtelijk zodat jullie dit kunnen verhelpen
- Volgens de AVG ben je verplicht persoonsgegevens te beschermen tegen lekken en misbruik
- Je verkleint met een pentest proactief de kans op een Hack en bescherm de continuïteit van de organisatie
- Een échte (ethisch) hacker kijkt handmatig en met een creatieve blik naar jullie systemen.
Kevin van den Eshof
Sales
”Op deze pagina delen wij enorm veel informatie over pentesting. Toch kan een gesprek meer helderheid bieden. Ben jij benieuwd wat Tozetta voor jullie organisatie kan betekenen? Neem dan contact op!
Wij kunnen vrijblijvend in gesprek over de Cyber Security van jullie bedrijf.”
Waarom een pentest uitvoeren bij Tozetta?
Bij Tozetta hebben wij één doel, het verbeteren van jullie Cyber Security. Door het uitvoeren van een pentest hopen wij inzichten te geven en awareness te creëren. Wij vinden het erg belangrijk dat de gevonden kwetsbaarheden ook daadwerkelijk worden verbeterd.
Daarom kun je in onze rapportage altijd een verbeterplan vinden. De kwetsbaarheden die naar voren komen uit onze pentest krijgen een score (hoog, middel of laag risico) hierdoor kunnen jullie zelf bepalen hoe (snel) alles wordt opgelost.
1-op-1 contact met de ethisch hacker is wat ons betreft een must. Jullie moeten toelichting krijgen op de denkwijze van onze specialist. Via deze weg worden niet alleen de bestaande kwetsbaarheden verbeterd. Wij hopen hierdoor ook impact te hebben op Cyber Security overwegingen die jullie in de toekomst moeten maken.
”Dankzij onze samenwerking met Tozetta zijn wij in staat om onze expertise op het gebied van digitaal onderzoek, cybersecurity en opleidingen verder uit te breiden”
Paul de Vlieger, Directeur Digitale Opsporing
Pentesting methodes
Je hebt eerder op deze pagina al gelezen over de diverse pentesting methodes. Wij hebben het hier over Black, Grey en Whitebox pentesten.
Bij een Black box pentest geeft organisatie de ethische hacker vooraf geen informatie over de systemen en de IT-structuur. De ethische hacker krijgt enkel een scope wat bestaat uit een URL en/of IP-adressen. Dit is een nabootsing van hoe een ‘’échte hacker’’ te werk gaat. Uiteraard beschikt een hacker met kwade intenties niet over interne kennis en moet dit geheel op eigen wijzen vergaren.
Dit maakt het voor de ethische hacker lastiger om zwakheden inzichtelijk te maken.
Bij Grey box penetratietesten krijgt de hacker beperkte informatie over systemen en IT-structuur. In sommige gevallen krijgt de penetratietester toegang tot een systeem met een gebruikersaccount. Dit is een nabootsing van een situatie waarbij een hacker inloggegevens via bijvoorbeeld phishing heeft vergaard en zo toegang heeft gekregen tot de interne omgeving van een organisatie.
Vanuit deze kennis/toegang kan een ethische hacker meer gedegen onderzoek doen naar kwetsbaarheden binnen de systemen van de organisatie.
De ethische hacker krijgt bij een White box penetratietest volledige toegang tot o.a. de broncode, netwerk of vergevorderde rechten binnen de IT-systemen. Hierdoor kan een ethische hacker zich voornamelijk focussen op het nalopen van alle systemen en een zo goed mogelijk beeld geven van kwetsbaarheden binnen het gehele landschap van de organisatie.
Pentest proces: in 5 stappen
Bij Tozetta houden wij van transparantie. Geen jargon en gewoon een duidelijk overeengekomen penetratietestproces. Van het Eerste gesprek, tot aan een pentestrapport. Hieronder vertellen wij meer over de 5 stappen van een pentestproces. Wij helpen jullie hier doorheen, ons doel is om jullie Cyber Security te verhogen!
Eerste gesprek (Quickscan)
Het eerste gesprek voer je met de pentest consultant van Tozetta. We willen graag meer te weten komen over jullie digitale landschap. Wat doen jullie op dit moment aan Cyber Security en hoe kan Tozetta bijdragen aan jullie online weerbaarheid? Als wij elkaar kunnen helpen voert een Ethisch Hacker kosteloos een Quickscan uit.
Doel: Kennismaking, Scope bepalen en behoeftes inventariseren
Pentest Offerte
Na het eerste gesprek en het uitvoeren van een Quickscan weten wij exact hoe Tozetta jullie organisatie kan ondersteunen. Op basis van deze gegevens brengen wij een Pentest offerte uit. Hierin benoemen wij expliciet wat wij gaan doen en hoe wij jullie gaan ondersteunen. Wij formuleren onze gezamenlijke doelen en hangen hier een transparante prijs aan. Geen addertjes onder het gras en één vaste prijs.
Overeenstemming
Als de scope is bepaald en de samenwerking volledig op papier staat, naderen wij een akkoord. Indien jullie geen op- of aanmerkingen hebben maken wij een overeenkomst op. Naast een overeenkomst wordt een vrijwaringsbewijs getekend. Indien wij alles getekend retour hebben wordt alles definitief ingepland en krijgt Ethisch Hacker van Tozetta groenlicht!
Inplannen & uitvoering Pentest
Als de overeenstemming is bereikt kan de opdracht uitgevoerd worden. In het geval van een pentest neemt de ethisch hacker van Tozetta persoonlijk contact met jullie op. Vooraf wil de ethisch hacker jullie zeker gesproken hebben voordat hij/zij de pentest start. Onze hoogopgeleide OSCP Hackers proberen binnen de scope hun werk uit te voeren. Kwetsbaarheden worden inzichtelijk gemaakt en netjes gerapporteerd.
Oplevering rapportage
De kwetsbaarheden worden opgemaakt in een pentest rapport. Het rapport is overzichtelijk, transparant en bevat zo min mogelijk jargon. Wij vinden het enorm belangrijk dat de kwetsbaarheden worden opgelost en ondersteunen hier graag bij. Denk aan een verbeterplan en een score (hoog, middel of laag risico).
Voor het opvragen van een voorbeeld rapport kunnen jullie contact opnemen met ons!
Voorbeeld pentest rapport
Ben jij benieuwd hoe een rapport van een penetratietest bij Tozetta eruit ziet? Via onderstaande link kun je contact opnemen. Wij kunnen een geanonimiseerd rapport delen waarbij jullie inzicht krijgen het uiteindelijke product dat wordt opgeleverd.
”Ik heb mijn 5+ jaar aan ervaring als ethisch hacker bekroond met een OSCP Certificaat. Met mijn kennis zorg ik ervoor dat jullie Netwerken, Websites en Mobiele applicaties uitvoerig getest worden.”
Ian van der Wurff
Lead Pentest
Dit verschillt enorm per pentest. Vaak begint een pentesting traject bij één dag testen en één dag rapporteren. De duur kan enorm oplopen wegens het vraagstuk dat er ligt. Denk hierbij aan de grootte van het netwerk en/of meerdere mobiele of webapplicaties die getest moeten worden. Wij geven altijd vrijblijvend een inschatting na een kosteloze Quickscan.
Eerder heb je gelezen dat Whitebox, Greybox en Blackbox pentesten de opties zijn. Wij adviseren om een whitebox pentest uit te voeren, waarom? Een Ethisch Hacker kan uitvoerig met de benodigde rechten jullie online weerbaarheid testen op kwetsbaarheden.
Een Blackbox pentest kan overigens wel goed inzicht geven of een ”echte” (ethisch) hacker kan binnendringen binnen jullie systemen.
Niet, dit doen wij voor je! Wij scoren de gevonden kwetsbaarheden met een hoog, gemiddeld of laag risico. In het pentest rapport adviseren wij wat als eerst opgelost moet worden.
Helaas komt deze vaak vraag voorbij. Veel IT-professionals weten hoe belangrijk een pentest kan zijn voor de organisatie. Toch hebben veel bedrijven hier geen budget voor vrijgemaakt of is het lastig om ”niet technische” collega’s te overtuigen.
Bij Tozetta geven wij o.a. OSINT en Cyber Security Awareness trainingen. In deze trainingen worden wij ingeschakeld om bijvoorbeeld het belang van cyber security en de financiële gevolgen van cybercriminaliteit over te brengen.
Indien jij als IT-professional moeite ervaart om dit over te brengen gaan wij graag met betrokken collega’s in gesprek. Zie het als een gratis Cyber Security Awareness training!
Het inschakelen van een Ethisch Hacker voor het uitvoeren van een Pentest kost normaliter tussen de €125 tot €200 per uur (Google). Dan gaat een ethisch hacker daadwerkelijk handmatig opzoek naar kwetsbaarheden (geen automatische scan of check op veelvoorkomende kwetsbaarheden).
Hoeveel een pentest kost is lastig in te schatten. Vaak begint het bij twee dagen (één dag testen en één dag rapporteren). Bij Tozetta zijn wij altijd bereid om het gesprek aan te gaan. Op basis van jullie wensen kan een vrijblijvende prijsopgave gemaakt worden.