Een penetratietest, ook wel pentest, is een test waarbij ethical hackers systemen onderzoeken op risico’s en kwetsbaarheden en daadwerkelijk de it-infrastructuur binnendringen. Het doel? Voor bedrijven inzichtelijk maken waar ze mogelijk gevaar lopen, zodat ze de beveiliging op dat gebied kunnen versterken.
Het belangrijkste verschil tussen een pentest en bijvoorbeeld een audit (beveiligingscontrole), is dat er bij een pentest echt geprobeerd wordt binnen te dringen in je organisatie. Een penetratietest is daarmee een heel betrouwbare methode om de netwerkbeveiliging en it-systemen binnen je bedrijf te controleren op kwetsbaarheden. Natuurlijk wil je hackers te allen tijde voorblijven, daarom is het advies om zeker eens per halfjaar deze test uit te voeren.
Waarom een penetratietest?
Cybercriminaliteit is een gevaar dat elke dag op de loer ligt. Dankzij de digitalisering, is digitaal inbreken ook een optie voor kwaadwillende criminelen. Zo kunnen ze bijvoorbeeld je bedrijfsnetwerk kapen, e-mailfraude plegen, een DDOS-aanval opzetten om de server te overbelasten, je computersysteem hacken of phishing verspreiden.
Maar niet alleen criminelen kunnen misbruik maken van zwakheden binnen je digitale omgeving, ook een boze (ex-)medewerker kan gevoelige informatie verspreiden of verwijderen.
Goede cybersecurity is dus van groot belang om al die potentiële gevaren te voorkomen. Met een pentest kom je erachter welke omgevingen van je organisatie je beter kunt beschermen tegen cybercrime.
Een andere reden om een penetratietest uit te voeren, kan de AVG-wet zijn, de Algemene verordening persoonsgegevens. Sinds 2018 moeten persoonsgegevens beschermd worden tegen lekken en misbruik. Omdat je als bedrijf de gegevens van je medewerkers moet beschermen, is het verstandig om in kaart te brengen welke risico’s er mogelijk zijn.
Hoe wordt een pentest uitgevoerd?
Er zijn verschillende methodieken die een geïnformeerde hacker kan toepassen om een penetratietest uit te voeren. Je kunt ze grofweg indelen in drie categorieën: black box-, grey box- en white box-pentesten.
Black box-pentest
In het geval van een black box, wordt een echte aanval van buitenaf gesimuleerd. De ethische hacker krijgt van tevoren geen informatie en kraakt de it-omgeving puur op basis van eigen kennis. Zo controleert de hacker de algemene digitale veiligheid binnen een organisatie.
Grey box-pentest
Bij een grey box-pentest krijgt de hacker vooraf beperkte informatie over de te hacken systemen, zoals bijvoorbeeld een gebruikersaccount in het systeem of de applicatie. Op die manier wordt getest of een insider die enige achtergrondinformatie heeft, makkelijk een cyberaanval kan starten.
Het kan ook zo zijn dat de hacker met en zonder achtergrondinformatie probeert binnen te dringen. Door beide scenario’s te testen, krijgt de opdrachtgever een compleet beeld van kwetsbaarheden binnen de organisatie. Dat is ook meteen het voordeel aan de grey box-methode: de tester spoort heel gericht kwetsbare plekken in het systeem op van binnenuit.
White box-pentest
In het geval van een white box-penetratietest, krijgt de hacker volledige toegang tot en informatie over het netwerk. Zo test-ie dus niet op kwetsbaarheden binnen de systemen, omdat een potentiële hacker deze gegevens niet heeft. De white box-methode is vooral bedoeld bij kleine applicaties het netwerk te evalueren.
Het risico op een cyberaanval zoveel mogelijk beperken? Dan is het verstandig om een security awareness-training aan te bieden binnen de organisatie. Op die manier worden werknemers bewust gemaakt op de risico’s en wordt de digitale weerbaarheid van een organisatie vergroot.
