6 juli 2018 7 min Auteur: Erik Remmelzwaal

Pentesten: dit moet je weten

Natuurlijk wil je hackers een stap voor blijven. Een beproefde methode hiervoor is het (laten) uitvoeren van een pentest. Maar wat is dat precies, welke varianten zijn er, wat komt erbij kijken en wat heb je nu eigenlijk aan een pentest? In deze Q&A vertellen we je alles wat je moet weten over dit instrument.

Wat is een pentest?

Pentest is een afkorting van ‘penetration testing’. Bij een pentest kruipen pentesters in de huid van een hacker. Ze proberen op allerlei manieren en met alle mogelijke middelen toegang te krijgen tot de geteste IT-omgeving. Op die manier leggen ze de zwakke plekken van je website, applicatie of zelfs gehele IT-infrastructuur bloot. Na afloop van een pentest kun je met gerichte maatregelen deze kwetsbaarheden zo goed mogelijk verhelpen.

Wat is het verschil tussen een pentest en een vulnerabilityscan?

Een vulnerabilityscan controleert IT-systemen op zwakheden via een volledig geautomatiseerde procedure. Daardoor beperkt een vulnerabilityscan zich tot bekende beveiligingsfouten. Een vulnerabilityscan heeft in veel gevallen niet de intelligentie om kwetsbaarheden te ontdekken die van deze bekende patronen afwijken.

Een pentest gaat veel verder. Pentesters zoeken handmatig en geautomatiseerd op een zo breed mogelijke manier naar zwakheden in de IT-omgeving, afhankelijk van beschikbare tijd, budget en scope van de opdracht. Ze gebruiken daarbij creatieve aanvalstechnieken, methoden en tooling zoals een vulnerabilityscan.

Wanneer is een pentest nuttig?

Pentesten leveren inzichten op waarmee een organisatie de security kan versterken. Dat kan in allerlei gevallen nuttig zijn. Zo kan een pentest de zwakheden van een nieuwe server of website in kaart brengen. In andere gevallen kan het waardevol zijn om het algehele securityniveau van de organisatie in kaart te brengen.

Pentesten zijn over het algemeen zinvol voor organisaties die sterk afhankelijk zijn van een goede beschikbaarheid van hun IT-systemen of over waardevolle gegevens beschikken waarbij de integriteit en vertrouwelijkheid van groot belang is.

Welke verschillende testmethoden zijn toepasbaar bij een pentest?

Er zijn grofweg drie testmethoden te onderscheiden. Er is geen ‘beste’ methode, iedere variant heeft zijn eigen specifieke voor- en nadelen. De keuze hangt dus geheel af van de omstandigheden.

1. Black box

Bij een black box-pentest krijgt de ethical hacker vooraf geen enkele informatie over de IT-infrastructuur. Wél wordt in veel gevallen een scope afgesproken om een volledig onderzoek te garanderen. De pentester simuleert hierbij als het ware de mindset van een opportunistische, niet-geïnformeerde hacker. Omdat de pentester geen voorinformatie heeft naast de scope, maar wel gelimiteerd is door tijd en budget, is deze testvariant doorgaans de minst grondige. Black box-testing is nuttig wanneer je bijvoorbeeld voor de eerste keer een test uitvoert en een algemeen beeld wilt krijgen van het beveiligingsniveau.

2. Grey box

Een grey-box-test houdt het midden tussen een black box- en een white box-test. De pentesters krijgen hierbij van tevoren beperkte informatie over de IT-infrastructuur, zoals een klant-/medewerkersaccount.

Grey-box-testen zijn doorgaans minder grondig dan white-box-testen, maar hebben wel een realistisch uitgangspunt. De pentesters beschikken hiermee over ongeveer evenveel voorkennis als bijvoorbeeld een rancuneuze klant/medewerker of een goed geïnformeerde hacker. Grey-box-onderzoeken worden bijvoorbeeld vaak toegepast om te kijken hoe veilig een omgeving is vanuit een klant- of medewerkersperspectief.

3. White box (ook wel: clear box of glass box)

Pentesters krijgen met een white box-pentest vooraf volledige openheid van zaken. Daardoor kunnen zij de pentest zeer grondig uitvoeren. Het nadeel van deze methode is dat het veel tijd kost, omdat de gehele scope tot in detail onderzocht wordt. Deze methode wordt veelal toegepast op een beperkte scope, bijvoorbeeld een applicatie die zeer belangrijk (bedrijfskritisch) is voor de klant.

Hoe lang duurt een pentest?

De duur van een pentest is geheel afhankelijk van het beoogde doel, de gekozen methode en het beschikbare budget. Sommige pentests zijn heel specifiek gericht op een bepaalde website of applicatie. Andere pentests zijn breder gericht, vaak zelfs op de gehele IT-infrastructuur. Afhankelijk van de grootte en complexiteit daarvan kan een pentest weken of zelfs maanden in beslag nemen.

Hoe grondig is een pentest?

Ook hier geldt: de grondigheid van een pentest hangt af van de situatie, het doel en het beschikbare budget. Grofweg zijn er twee verschillende typen pentests die de duur en grondigheid bepalen:

1. Timeboxed pentest

De pentest vindt plaats binnen een afgesproken maximale tijdsduur. Binnen de beschikbaar gestelde tijd worden zoveel mogelijk kwetsbaarheden in kaart gebracht.

2. Uitvoerige pentest

Bij een uitvoerige scan maakt de pentester van tevoren een inschatting van het benodigde aantal uren per te testen onderdeel.

Hoe gaat een pentest in zijn werk?

Een pentest begint bij ons altijd met een intakegesprek samen met één van onze pentesters. Hier vindt naast een algemene kennismaking overleg plaats over onder andere de scope van de test, de methode van aanpak (zie ‘welke varianten zijn er?’), het beschikbare budget en het tijdsbestek waarin de pentest plaatsvindt. Vervolgens vindt de daadwerkelijke pentest plaats. Deze kun je grofweg indelen in 4 fasen:

1. Inventarisatie

De pentesters maken een grove inventarisatie van het IT-landschap. Ze maken als het ware een situatieschets van de gebruikte systemen.

2. Enumeratie

De inventarisatie wordt aangevuld met relevante informatie. Denk bijvoorbeeld aan een overzicht van de beschikbaar gestelde diensten door de eerder aangetroffen systemen.

3. Exploitatie

De pentesters voeren daadwerkelijk de aanval uit en brengen de impact in kaart.

4. Rapportage en presentatie

De pentesters stellen een rapportage op met daarin de bevindingen, conclusies en aanbevelingen. Daarnaast geven ze een presentatie op locatie, zodat samen gezocht kan worden naar de meest veilige oplossing voor bepaalde situaties.

Waarom is het aantonen van de impact van een kwetsbaarheid belangrijk?

Het aantonen van de impact van een kwetsbaarheid maakt het voor een klant mogelijk in te schatten welke kwetsbaarheden voor zijn of haar organisatie de grootste gevolgen heeft en daardoor prioriteit verdient.

Veel van mijn IT staat in de cloud of is in beheer bij externe providers. Is een pentest dan wel nuttig?

Jazeker. Een cloud- of IT-provider is immers ook kwetsbaar. Natuurlijk hebben grote spelers veel budget voor security, maar ze zijn ook aantrekkelijk voor hackers omdat ze doorgaans over veel data beschikken. En uiteindelijk bestaat een cloud simpelweg uit computersystemen. Bovendien kun je wel IT-diensten afnemen bij externen, jij blijft zelf verantwoordelijk voor een solide security van bijvoorbeeld de data die je bij anderen neerzet.

Wanneer een pentester zwakheden bij een externe partij ontdekt, dan wordt deze partij ingelicht zodat zij maatregelen kunnen nemen. Dat verhoogt uiteindelijk ook jouw securityniveau. In een dergelijke situatie moet de de geteste organisatie wel voor een vrijwaringsverklaring zorgen bij de externe leverancier.

Mijn organisatie beschikt over vertrouwelijke data. Zijn die in goede handen bij een pentester?

Een pentest-organisatie met goede bedoelingen zal altijd van tevoren een NDA (Non Disclosure Agreement) tekenen. Dat is een geheimhoudingsverklaring. Aangetroffen data zijn dan in veilige handen, vaak op straffe van een fikse boete.

Wat gebeurt er met de uitkomsten van een pentest?

Wij stellen achteraf altijd een rapport en presentatie op van de bevindingen. Het rapport bestaat uit een management letter met daarin de belangrijkste conclusies en aanbevelingen, en uit een uitvoeriger technisch gedeelte. Alle rapporten van iedere afzonderlijke pentest worden versleuteld bewaard in een zogeheten ‘cryptocontainer’, zodat ze veilig zijn afgeschermd voor de buitenwereld.

Wat kan ik het beste doen met de bevindingen van een pentest?

Het is zonde als de resultaten van een pentest in een la belanden. Wie zijn IT-beveiliging aan de hand van een pentest daadwerkelijk wil aanscherpen, moet de bevindingen en aanbevelingen vertalen in concrete acties. Het is dan ook raadzaam om aan de hand van het bevindingsrapport concrete taken uit te zetten bij de betreffende verantwoordelijken. Een ticketingsysteem of actieplan kan daarbij helpen.

Zijn er risico’s verbonden aan een pentest?

Een pentest brengt vrijwel altijd risico’s met zich mee. Zo kunnen systemen door de gesimuleerde aanvallen worden verstoord, wat kan resulteren in downtime. Wees hierop voorbereid (zie vraag: Hoe bereid ik de organisatie voor op een pentest?). Een pentester zal daarom met de opdrachtgever altijd een vrijwaringsverklaring overeenkomen. Onze pentesters zullen downtime altijd proberen te voorkomen en letten tijdens de test op eventuele signalen die op verstoring kunnen duiden.

Hoe herken ik een goede pentester?

Mensenwerk en creativiteit zijn onmisbare kenmerken van een goede pentest. Is de pentest voor het overgrote deel geautomatiseerd, dan is dat doorgaans een slecht teken. Menselijk inzicht en creativiteit zijn cruciaal voor een goede test.

Een ander belangrijk aandachtspunt zijn de kwalificaties van de pentesters. Een VOG (Verklaring Omtrent Gedrag) moet voor zich spreken. Daarnaast zijn certificaten als OSCP/OSCE een teken van vakkennis, praktische vaardigheden, doorzettingsvermogen en creativiteit.

Beide certificeringen verzekeren een hoog kennisniveau, doorzettingsvermogen en creativiteit.

 

Hoe bereid ik de organisatie voor op een pentest?

Een goede voorbereiding maakt een pentester veel effectiever en gerichter. Een risico-inventarisatie is daarom waardevol. Vraag je af wat de achilleshiel van jouw organisatie kan zijn. Beschik je bijvoorbeeld over gevoelige bedrijfsinformatie, of verwerk je veel persoonsgegevens? Is imago belangrijk? Opereer je in een controversiële markt en zijn hackers wellicht uit op sabotage van je activiteiten? Probeer te achterhalen wat jouw organisatie een aantrekkelijk doelwit maakt voor kwaadwillenden. Zo kan tijdens de test hierop focus gelegd worden.

Het is daarnaast verstandig een rondgang te maken langs alle afdelingen en stakeholders in de organisatie. Zo kan een hr-directeur wellicht op andere risico’s wijzen dan de CFO. Een bedrijfsbrede inventarisatie zorgt voor een compleet risicobeeld. Dat voorkomt een te nauwe focus tijdens de pentest.

Ten slotte is het verstandig snel te kunnen ingrijpen wanneer de pentest onverhoopt een downtime veroorzaakt. Zorg dan ook dat cruciale systemen snel te herstellen zijn vanuit een test- of acceptatieomgeving. Verder is het verstandig externe IT-providers of cloudleveranciers van tevoren te informeren en eventuele vrijwaringsovereenkomsten af te sluiten. Er zal immers ook een aanval plaatsvinden op hun systemen.

Hoe onderscheidt een pentest van DearBytes zich van de concurrentie?

Een belangrijke onderscheidende factor is de manier waarop wij klanten begeleiden. Goed overleg loopt als een rode draad door het gehele traject. We bepalen vooraf duidelijk de scope, de aanpak en de doelstellingen van de pentest. Zo maximaliseren we de effectiviteit van de test.

Na afloop overleggen en presenteren we alle bevindingen. We geven een duidelijke management brief richting de business, en bespreken de technische details met IT. We kijken samen met de klant naar de haalbaarheid en wenselijkheid van eventuele maatregelen en kunnen helpen met het prioriteren hiervan. Want uiteindelijk moet een pentest natuurlijk wel resulteren in een hoger securityniveau.

Erik Remmelzwaal

Erik is Managing Director Security Services bij KPN. Hij is zijn carrière in 2001 begonnen bij DearBytes, waar hij ervaring heeft opgedaan als developer, securityconsultant en incident responder. In 2011 klom hij op tot CEO van DearBytes. In deze positie heeft hij DearBytes laten groeien tot een van de grootste Managed Security Service Providers van Nederland. In 2017 werd DearBytes overgenomen door KPN en werd Remmelzwaal als Director Products aangesteld. Sinds begin 2018 geeft hij ook leiding in de rol van Managing Director van Security Services.

- Auteur: Erik Remmelzwaal

Gerelateerde artikelen