Penatratietest

WAT IS EEN PENTEST?

Een pentest is een geautoriseerde poging om een beveiligingssysteem te omzeilen of te doorbreken, om zo inzicht te krijgen in de effectiviteit van dat systeem en om verbeterpunten te definiëren.

In de praktijk betekent het dat een team beveiligingsspecialisten (ook wel ethical hackers genoemd) met toestemming van de systeemeigenaar probeert om informatie uit het beveiligde systeem te benaderen zonder de vereiste toegangsgegevens.

Het doel van de pentest is om:

1. Inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem.

2. De beveiliging te verbeteren – met andere woorden, de risico’s en kwetsbaarheden te bestrijden.

Let op: soms kan een pentest problemen blootleggen die inherent blijken te zijn aan een bepaalde ontwerpbeslissing, waardoor het oplossen van het probleem veel werk kost. Het is dan ook erg belangrijk om ook beveiligingsexpertise bij de ontwerpfase van een systeem te betrekken.

Andere termen voor pentesting

Andere termen die voor penetratietests gebruikt worden zijn ethical hacking test, legal hacking test, hacktest, security scan, vulnerability assessment en diverse samenstellingen van deze termen. De termen komen min of meer op hetzelfde neer. In dit paper gebruiken we alleen de term pentest.

Soorten pentest

Bij penetratietests hoort nogal wat jargon. Vooral de boxen zullen bij een gesprek over pentesting snel op tafel komen: men spreekt van black box tests, grey box, white box en soms zelfs van crystal box en time/budget box tests. Het verschil zit onder meer in de hoeveelheid kennis en achtergrondinformatie die de tester krijgt.

Als een tester minimale voorkennis heeft, is er sprake van black box; krijgt een tester van tevoren inzicht in alle aspecten van de systeemarchitectuur, dan heet die white box. Beschikt een tester over gedeeltelijke informatie, dan heet dit grey box. Dat kan een inlogaccount zijn om te testen of het voor gebruikers met een werkend wachtwoord mogelijk is om misbruik te maken. Denk ook aan een test van een internetbank: het is zinvol om, als de testers niet voorbij het inlogscherm komen, ook te proberen om met geldige inloggegevens geld over te maken van een rekening van iemand anders. In een pure black box komt de aanvaller wellicht niet langs het inlogscherm en heeft dan niet de gelegenheid of de tijd om ook dit soort aspecten nog te testen.

Met crystal box wordt meestal bedoeld dat de testers ook de broncode van de applicatie hebben en toegang hebben tot alle mogelijke configuratie-informatie.

Met time box of budget box wordt eigenlijk iets heel anders bedoeld, namelijk een test waarbij de doorlooptijd of de kosten bepalen wanneer de test ophoudt. Bijvoorbeeld: hoe ver kan een team ervaren pentesters in drie dagen komen? Dat kan soms een zinvolle vraag zijn om te stellen. In de fysieke beveiligingswereld weet men immers al veel langer dat 100% veiligheid niet bestaat en verkoopt men kluizen met een tijdsaanduiding: “een aanvaller met de juiste kennis en gereedschap heeft minstens x uur nodig om deze kluis open te krijgen”.

Naast de hoeveelheid informatie die de aanvallers ter beschikking hebben, moet er ook een keuze worden gemaakt over de informatie die het eigen personeel krijgt: worden ze op de hoogte gebracht dat een penetratietest uitgevoerd gaat worden of blijven ze in het ongewisse? Bij dat laatste geeft de penetratietest ook inzicht in de manier waarop incidentdetectie en afhandeling wordt uitgevoerd. Het is dan wel van belang dat wordt ingegrepen voordat het personeel vervolgacties (zoals aangifte) gaat ondernemen.

Voor het verkrijgen van informatie kunnen de testers publiekelijk beschikbare bronnen raadplegen (zoals Internetpagina’s), maar het is ook mogelijk om ‘social engineering’ toe te passen. Hierbij wordt geprobeerd om informatie te krijgen van medewerkers, door bijvoorbeeld de helpdesk te bellen, door een medewerker om zijn wachtwoord te vragen of door de portier om te praten om het gebouw binnen te komen. Afhankelijk van de doelstelling van de penetratietest kan social engineering binnen de scope vallen.


Neem de proef op de som en neem contact met ons op.