Wat is pentesten?

Wat is pentesten? het uitvoeren van een penetratietest maakt inzichtelijk wat de kwetsbaarheden zijn van een netwerk of applicatie.

Pentesten of penetratietesten is het testen van systemen op kwetsbaarheden. Hierbij kun je denken aan pentesten van websites of mobiele applicaties. Een penetratietest wordt uitgevoerd door een ethische ofwel white hat hacker. De penetratietester gaat in samenspraak met de organisatie proberen de besproken systemen te hacken. Doel hierin is om de kwetsbaarheden binnen deze systemen bloot te leggen om de cyber veiligheid van de organisatie te verhogen. In dit blog gaan wij dieper in op wat pentesten is.

Hoe verloopt een pentest proces?

Voordat een penetratietest daadwerkelijk wordt uitgevoerd moet de organisatie eerst bepalen welke systemen getest moeten worden. In veel gevallen gaat dit om netwerken, websites of mobiele applicaties die de organisatie beheerd of uitgeeft.

Nadat inzicht in de systemen is gecreëerd moet de soort pentest worden bepaald. Binnen de wereld van penetratietesten zijn verschillende testmethoden:

  • Black Box
  • Grey Box
  • White Box

Wat is Black box pentesten?

Bij een Black box pentest geeft organisatie de ethische hacker vooraf geen informatie over de systemen en de IT-structuur. De ethische hacker krijgt enkel een scope wat bestaat uit een URL en/of IP-adressen. Dit is een nabootsing van hoe een ‘’échte hacker’’ te werk gaat. Uiteraard beschikt een hacker met kwade intenties niet over interne kennis en moet dit geheel op eigen wijzen vergaren.

Dit maakt het voor de ethische hacker lastiger om zwakheden inzichtelijk te maken.

Wat is Grey box penetratietesten?

Bij Grey box penetratietesten krijgt de hacker beperkte informatie over systemen en IT-structuur. In sommige gevallen krijgt de penetratietester toegang tot een systeem met een gebruikersaccount. Dit is een nabootsing van een situatie waarbij een hacker inloggegevens via bijvoorbeeld phishing heeft vergaard en zo toegang heeft gekregen tot de interne omgeving van een organisatie.

Vanuit deze kennis/toegang kan een ethische hacker meer gedegen onderzoek doen naar kwetsbaarheden binnen de systemen van de organisatie.

Wat is White box pentesten?

De ethische hacker krijgt bij een White box penetratietest volledige toegang tot o.a. de broncode, netwerk of vergevorderde rechten binnen de IT-systemen. Hierdoor kan een ethische hacker zich voornamelijk focussen op het nalopen van alle systemen en een zo goed mogelijk beeld geven van kwetsbaarheden binnen het gehele landschap van de organisatie.

Wat zijn vervolgstappen na een penetratietest bij Tozetta?

Bij Tozetta geven wij altijd de voorkeur aan een White box penetratietest. Met een dergelijke test kunnen alle systemen grondig worden onderzocht op kwetsbaarheden. Middels een uitgebreid rapport kan de ethische hacker kwetsbaarheden aantonen. In het rapport en een vervolggesprek worden ook de handvatten toegereikt om de kwetsbaarheden op te lossen.

Deze gesprekken worden altijd gevoerd met de ethisch hacker(s) van Tozetta die daadwerkelijk de penetratietest hebben uitgevoerd.

Meer weten over de mogelijkheden van pentesten?

Als je meer te weten wilt komen over de mogelijkheden kun je contact opnemen met Tozetta. Tozetta is gespecialiseerd in het uitvoeren van penetratietesten op websites en mobiele apps.