U heeft beveiligingstechnieken geïnstalleerd zoals Firewalls, Intrusion detection/protection, en encryptie van gevoelige bedrijfsgegevens. Uw medewerkers veranderen iedere maand hun wachtwoord en de ingang van uw bedrijfspand en datacenter worden nauwlettend in de gaten gehouden door een gedisciplineerde receptioniste. En toch heeft u af en toe het angstige gevoel dat de beveiliging misschien niet adequaat en volledig is ingericht.

ISSX kan u helpen met een aanval- en penetratietest.

Een penetratietest is vaak een onderdeel van een audit. Het netwerk en de systemen, zoals firewalls, webservers en mail servers, van een organisatie worden aangevallen op een manier zoals een hacker dat ook zou doen.Een penetratie test bestaat globaal gezien uit twee delen: een quick scan en een uitgebreide test met diepgang. Tijdens de quick scan wordt met diverse automatische tools gezocht naar bekende kwetsbaarheden. Eenvoudig te vinden en te gebruiken exploits voor gevonden kwetsbaarheden worden uitgevoerd.

In het tweede deel wordt niet alleen gezocht naar bekende kwetsbaarheden, maar ook naar minder bekende kwetsbaarheden of combinaties van kwetsbaarheden. Exploits en eenvoudige DOS aanvallen worden gebruikt om toegang te verkrijgen tot de systemen of om deze systemen uit te schakelen. Eventueel worden intern ontwikkelde tools ingezet.

De focus van onze penetratietest ligt op de volgende onderdelen:

• Het profileren van beschikbare informatie (bijvoorbeeld van zoekmachines en nieuwsgroepen) welke gerelateerd kan worden aan de applicatie en/of het bedrijf en welke misbruikt kan worden door kwaadwillende aanvallers.
• Beoordeling van de infrastructuur welke wordt gebruikt om de applicatie te faciliteren.
• Bepalen welke services draaien op de systemen.
• Manipulatie van gegevens / data.
• Manipulatie van de applicaties in de backend.
• Manipulatie / verzamelen van data direct van de database door gebruik te maken van applicatie hacking technieken zoals SQL injection, enumeratie van data etc.

Dit alles in relatie tot lijsten zoals de OWASP-10, de SANS top 20 etc.

Met de penetratietest krijgt u meer zekerheid over de mate waarin uw eigen ICT-infrastructuur bestand is tegen dergelijke aanvallen en kunnen overwachte zwakke plekken in de beveiliging worden blootgelegd. In tegenstelling tot een audit of review, waarbij gekeken wordt naar de configuratie en het (technisch) beheer van een informatiesysteem, vindt bij de penetratietest een werkelijke verificatie plaats van de werking van beveiligingsmaatregelen. Tevens kan een penetratietest inzicht geven in de werking van de escalatiepaden, procedures en respons van de beheerorganisatie in het geval van een (gecontroleerd) beveiligingsincident.

Gedurende de afgesproken testperiode wordt gepoogd met alle mogelijke middelen toegang tot het doelobject te krijgen. Hierbij kan gebruik gemaakt worden van veiligheidslekken in applicaties, protocollen en (besturings)systemen, maar ook van configuratiefouten, overbodige services, etc. Doel hierbij is steeds informatie over en daarmee toegang tot het doelobject te verkrijgen.

De uitvoerend specialisten hebben te maken met een beperkte hoeveelheid tijd. Wanneer een zwakke plek gevonden wordt waarvan het uitbuiten (te) veel tijd kost, dan wordt dat specifieke pad niet meer gevolgd, ten gunste van het zo veel mogelijk ontdekken van andere kwetsbaarheden. Uiteraard wordt deze zwakke plek wel gedocumenteerd. Zij kan later eventueel alsnog nader worden onderzocht. In de rapportage geven wij helder weer welke werkzaamheden zijn uitgevoerd, met welk resultaat, de gevonden zwakten en kwetsbaarheden gecategoriseerd naar risico-inschatting, en heldere aanbevelingen voor maatregelen.

Na het uitvoeren van de penetratietest levert ISSX de volgende zaken op:

• Rapport met de resultaten en bevindingen.
• Het rapport moet begrijpbaar en leesbaar zijn door zowel het management als IT technici.
• Technische sessie / discussie waarbij de resultaten en aanbevelingen worden gepresenteerd en besproken.