Wat is een pentest? En wat zijn de voordelen?

01-10-2021 Benieuwd hoe een hacker jouw IT-systemen kan binnendringen en welke schade hij daar kan aanrichten? Dan moet je een pentest laten uitvoeren. We leggen uit wat het is, waarom organisaties hierin geïnteresseerd zijn en hoe je werk maakt van de resultaten van een pentest.

Wat is een pentest?

Een pentest – kort voor penetratietest – is een methode om de cyberveiligheid binnen een organisatie te testen. Hiervoor wordt de hulp van een externe pentester ingeschakeld. Ook wel een ethical hacker genoemd. 

Deze persoon kijkt naar jouw organisatie vanuit de ogen van een kwaadwillende hacker en probeert kwetsbaarheden te vinden binnen een beveiligde IT-omgeving. Er wordt dus een dreiging gesimuleerd.

Met behulp van de laatste tools en methodieken probeert een pentester kwetsbaarheden bloot te leggen. Op alle mogelijke manieren en op verschillende niveaus. Na afloop presenteert hij zijn bevindingen in een pentestrapport. 

Waarom een pentest laten uitvoeren?

Om je als organisatie te beschermen tegen aanvallen van hackers en cybercriminelen moet je natuurlijk eerst weten waar je zwakke plekken liggen. Simulatie van een aanval door middel van een pentest brengt in kaart waar de zwakke punten liggen binnen een organisatie. Vervolgens kan je aan de slag met het versterken van deze kwetsbaarheden.

Drie soorten pentesten

Binnen de wereld van penetratietesten maken we onderscheid tussen drie verschillende soorten testen. Elk heeft zo zijn voordelen.

• Black box pentest: Lijkt het meest op een echte dreiging. De pentester krijgt vooraf geen informatie over de (beveiliging binnen een) organisatie. Hij krijgt als het ware carte blanche om kwetsbaarheden op te sporen. Vaak wordt er wel vooraf een scope besproken en moet er binnen een bepaald budget gebleven worden. Dit is een goede methode om een algemeen beeld te krijgen.
• White box pentest: Alle informatie over de cyberomgeving wordt vooraf gedeeld. Alle code en documentatie is inzichtelijk, waarna een pentester doelgericht op zoek gaat naar kwetsbaarheden. Dit kost veel tijd, waardoor vaak slechts een klein onderdeel van een systeem getest wordt. Denk bijvoorbeeld aan de veiligheid van een enkele API-koppeling.
• Grey box pentest: Vooraf wordt wat informatie gedeeld, maar niet alles. Deze test simuleert bijvoorbeeld een goed geïnformeerde (maar kwaadwillende) klant of medewerker binnen een organisatie.

Zaken om rekening mee te houden

Een pentest is een goede manier om potentiële dreigingen op te sporen. Toch is het niet verstandig om af en toe een pentest te doen en verder niet meer naar je cyber security om te kijken. Daar zijn verschillende redenen voor:

1. Hackers worden steeds inventiever. Er kan vandaag een nieuwe methode ontstaan om beveiliging te omzeilen die gisteren nog geen issue was. Het is daarom goed om te realiseren dat een pentest slechts een momentopname is. De uitkomsten leggen kwetsbaarheden bloot die nu aanwezig zijn, maar bieden geen garantie voor de toekomst.
2. Een pentestrapport laat alle mogelijke dreigingen zien. Ook kwetsbaarheden die er helemaal niet toe doen. Blijf daarom altijd kritisch kijken naar de uitkomsten: wat kan een hacker nu echt wanneer hij toegang krijgt? Het kunnen downloaden van openbare documenten zou bijvoorbeeld geen probleem moeten zijn.
3. Vergeet niet om jezelf de vraag te stellen: wat probeer ik nu eigenlijk te beschermen? En wat is de dreiging tegen datgene ik probeer te beschermen? Want eigenlijk weet je dan pas welke kwetsbaarheden je met prioriteit moet aanpakken. Ook helpt het de scope van een pentest te bepalen.

Kijk verder dan de pentest!

Pentesten zijn een geweldige manier om jouw organisatie te bekijken door de ogen van een hacker. Een goede penetratietester zal altijd kwetsbaarheden vinden waar je direct mee aan de slag kan. Maar of het ook moet?

Zoals je gelezen hebt, is er meer om rekening mee te houden. Een pentest is een momentopname van de kwetsbaarheden binnen een organisatie. Het kijkt niet naar mogelijke dreigingen of wat nu eigenlijk de gevolgen zijn van een security breach. En het kijkt ook alleen naar nu, niet naar de toekomst. 

Kortom: door een pentest te laten doen, weet je alleen welke kwetsbaarheden jouw organisatie heeft. Niet of dit ook daadwerkelijk een bedreiging vormt. 

Breng ook de mogelijke dreiging in kaart

Kritieke bedrijfsmiddelen, kwetsbaarheid en dreiging zijn de drie componenten van cyberrisico. Een pentest houdt zich alleen met de eerste van deze twee bezig, terwijl we bij MMOX ook naar de dreiging kijken. Waar moet je je systemen nu echt tegen beveiligen? Wat heeft prioriteit? MMOX helpt organisaties helder te krijgen welke kwetsbaarheden er zijn, maar ook welke aangepakt moeten worden. 

Door middel van de nieuwste technologie, monitoring, inzicht, gerichte adviezen, incident response en een verzekering minimaliseren wij het cyberrisico bij ondernemers in het MKB+. 

Lees hier meer informatie over onze werkwijze of neem contact met ons op voor een persoonlijk gesprek.