Penetratietest

Uit Wikipedia, de vrije encyclopedie
Naar navigatie springen Naar zoeken springen

Een Penetratietest of Pentest (binnendringingstest) is een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. Een Penetratietest vindt normaal gesproken om rechtmatige redenen plaats, met toestemming en vrijwaring van de eigenaar van de systemen die getest worden, met als doel de systemen beter te beveiligen. Indien het niet om rechtmatige redenen plaatsvindt, zonder toestemming van eigenaars van systemen, is er sprake van een inbraak, zelfs als de bedoeling van de persoon die de test uitvoert opbouwend bedoeld is. De persoon die een Penetratietest uitvoert heet een Penetratietester / Pentester of Ethical / white hat hacker.

Pentest of Vulnerabilityscan[bewerken | bron bewerken]

Een Penetratietest bestaat voor grootste gedeelte uit handmatige tests uitgevoerd door een gespecialiseerde ethische hacker, uiteraard gecombineerd met gebruik van softwareprogramma's zoals poortscanners en proxies. Creativiteit en kennis spelen een essentiële rol in het vinden van risico’s die anders onopgemerkt blijven. Wanneer het merendeel van de Pentest geautomatiseerd is, wordt dit een vulnerability scan genoemd.[1] Een vulnerability scan heeft in veel gevallen niet de intelligentie om kwetsbaarheden te ontdekken die van deze bekende patronen afwijken. Wel kan de scan nuttig zijn om op frequente basis dit soort scans uit te voeren, waarmee grofweg 20-30% van de simpelere beveiligingsfouten te vinden zijn. Voorbeelden van dit soort softwarepakketten waarmee dit soort vulnerability scans kunnen worden uitgevoerd zijn Nessus, OpenVAS, Netsparker, Acunetix, Burp Suite.

Kwaliteitsnormen Pentest[bewerken | bron bewerken]

Aangezien de Ethical Hackers die de Pentest uitvoeren mogelijkerwijs toegang krijgen tot gevoelige gegevens, is het van belang goede afspraken te maken over de scope, geheimhouding en juridische vrijwaring. Daarnaast is het voor de kwaliteit van belang om vooraf helder te hebben wie de Pentest gaat uitvoeren, welke hackers certificeringen de persoon heeft en of screeningen (Verklaring omtrent het gedrag/ AIVD Veiligheidsonderzoek) op persoonlijke titel ter inzage beschikbaar zijn. Afhankelijk van de gevoeligheid van de data die de applicatie of infrastructuur verwerkt, kan het relevant zijn om te weten of de Pentester zijn werkzaamheden uitvoert vanuit Nederland.

Red Teaming[bewerken | bron bewerken]

Een Red Teaming onderzoek is een samenwerking van twee of meer Pentesters die ingehuurd worden om een geavanceerdere aanval of scenario na te spelen. Vaak om de beveiliging in kaart te brengen van een organisatie met als doel een georganiseerde aanval of scenario na te spelen op een organisatie, applicatie of netwerk. Tijdens een Red Teaming onderzoek is het afgesproken doel leidend en hebben de Pentesters meer vrijheid in de middelen die worden ingezet. Bij een Red Teaming onderzoek worden zowel de weerbaarheid van de organisatie als de reactietijd (ook wel incident response tijden) van het Blue Team getoetst. [2]

Soorten/testmethoden Pentest[bewerken | bron bewerken]

Er zijn diverse soorten Penetratietests, grofweg kan er onderscheid gemaakt worden tussen Blackbox-, Greybox- en Whitebox Pentesten.

Black box Pentest[bewerken | bron bewerken]

Bij Black box pentesten krijgt de Pentester vooraf beperkte informatie om binnen de scope te testen zoals IP-adressen of een URL en moet verder door middel van tools en 'hacken' de IT-omgeving kraken. Die techniek gaat uit van een externe hacker die de systemen probeert te kraken zonder voorafgaande kennis te hebben over het bedrijf. De test wordt dan ook vaak gebruikt bij het controleren van de algemene veiligheid van een applicatie, netwerk of omgeving.

Grey box Pentest[bewerken | bron bewerken]

De grey box Pentest kan beschouwd worden als een combinatie van de black box en white box Pentesten. De tester krijgt voorafgaand de test beperkte informatie over het netwerk en achterliggende systemen, en een gebruikersaccount in het systeem of applicatie. Die techniek simuleert een hacker of kwaadwillende insider die al een zekere toegang heeft tot het systeem of de applicatie alvorens hij de aanval start. Grey box Pentesting maakt het mogelijk om de systemen te testen vanuit gebruikersperspectief. Deze techniek is bovendien efficiënter dan black box Pentesting: de aanvaller kan gerichter kwetsbare plekken in het systeem opsporen en daardoor als bijgevolg ook efficiënter te werk gaan.[3]

White box Pentest[bewerken | bron bewerken]

Een white box Pentest, soms ook crystal box Pentest genoemd, is een methode waarbij de tester volledige toegang krijgt tot het netwerk, en onder meer broncode en architectuurdiagrammen kan inkijken en gevorderde rechten krijgt binnen het netwerk. In deze test wordt het volledige netwerk geëvalueerd op basis van kennis die niet ter beschikking staat van externe hackers.[3] Hierdoor worden white box Penetratietests vaak ingezet voor kleinere, doch bedrijfskritische, applicaties.

Verschil Penetratietest en Audit[bewerken | bron bewerken]

Het verschil tussen een Penetratietest en een audit (beveiligingscontrole) is, dat bij een audit geen poging wordt gedaan om daadwerkelijk in te breken, maar enkel mogelijke kwetsbaarheden in kaart gebracht worden. Bij een Penetratietest worden kwetsbaarheden juist wel gebruikt om in te breken.