Bij het opzetten van een nieuw beveiligingssysteem moet u ervoor zorgen dat het correct werkt met zo min mogelijk kwetsbaarheden. Als het om digitale activa gaat die duizenden dollars waard zijn, kunt u het zich niet veroorloven om van uw fouten te leren en alleen hiaten in uw beveiliging op te vullen die hackers eerder hebben uitgebuit.

De beste manier om de beveiliging van uw netwerk te verbeteren en te garanderen, is door het voortdurend te testen en op zoek te gaan naar fouten die kunnen worden verholpen.

Wat is penetratietesten?

Dus wat is een pentest?

Penetratietesten, ook wel pentesten genoemd, is een geënsceneerde cyberbeveiligingsaanval die een echt beveiligingsincident nabootst. De gesimuleerde aanval kan gericht zijn op een of meerdere delen van uw beveiligingssysteem, op zoek naar zwakke punten die een kwaadwillende hacker zou kunnen misbruiken.

Wat het onderscheidt van een daadwerkelijke cyberaanval, is dat de persoon die het doet een white-hat- of ethische hacker is die u inhuurt. Ze hebben de vaardigheden om je verdediging te penetreren zonder de kwaadaardige bedoelingen van hun black-hat-tegenhangers.

instagram viewer

Soorten Pentests

Er zijn verschillende voorbeelden van pentests, afhankelijk van het type aanval dat de ethische hacker lanceert, de informatie die ze van tevoren krijgen en de beperkingen die door hun werknemer zijn ingesteld.

Een enkele pentest kan een of een combinatie zijn van de primaire pentest-typen, waaronder:

Insider Pentest

Een insider of interne pentest simuleert een cyberaanval van binnenuit, waarbij een kwaadwillende hacker zich voordoet als een legitieme werknemer en toegang krijgt tot het interne netwerk van het bedrijf.

Dit is afhankelijk van het vinden van interne beveiligingsfouten, zoals toegangsrechten en netwerkbewaking, in plaats van externe problemen zoals firewall-, antivirus- en eindpuntbeveiliging.

Buitenstaander Pentest

Zoals de naam al doet vermoeden, geeft dit type pentest de hacker geen toegang tot het interne netwerk of de medewerkers van het bedrijf. Het geeft hen de mogelijkheid om in te breken via de externe technologie van het bedrijf, zoals openbare websites en open communicatiepoorten.

Outsider pentests kunnen overlappen met social engineering pentests, waarbij de hacker trucs en manipuleert een werknemer om hem toegang te verlenen tot het interne netwerk van het bedrijf, buiten het externe netwerk bescherming.

Datagestuurde Pentest

Met een datagestuurde pentest krijgt de hacker beveiligingsinformatie en gegevens over zijn doelwit. Dit simuleert een aanval van een voormalige werknemer of iemand die uitgelekte beveiligingsgegevens heeft verkregen.

Blinde Pentest

In tegenstelling tot een datagestuurde test, betekent een blinde test dat de hacker geen enkele informatie krijgt over zijn doelwit, behalve zijn naam en wat publiekelijk beschikbaar is.

Dubbelblinde Pentest

Naast het testen van de digitale beveiligingsmaatregelen van het bedrijf (hardware en software), omvat deze test ook het beveiligings- en IT-personeel. Bij deze gefaseerde aanval is niemand in het bedrijf op de hoogte van de pentest, waardoor ze moeten reageren alsof ze een kwaadwillende cyberaanval tegenkomen.

Dit levert waardevolle gegevens op over de algehele beveiliging van het bedrijf en de bereidheid van het personeel en hoe de twee met elkaar omgaan.

Hoe penetratietesten werken

Net als bij kwaadaardige aanvallen, vereist ethisch hacken een zorgvuldige planning. Er zijn meerdere stappen die de ethische hacker moet volgen om een ​​succesvolle pentest te garanderen die waardevolle inzichten oplevert. Hier is een inzicht in de pentest-methodologie.

1. Informatie verzamelen en plannen

Of het nu een blinde of datagestuurde pentest is, de hacker moet eerst informatie over zijn doelwit op één locatie verzamelen en het aanvalspunt eromheen plannen.

2. Kwetsbaarheidsevaluatie

De tweede stap is het scannen van hun aanvalsroute, op zoek naar hiaten en kwetsbaarheden die kunnen worden misbruikt. De hacker zoekt toegangspunten en voert vervolgens meerdere kleinschalige tests uit om te zien hoe het beveiligingssysteem reageert.

3. Kwetsbaarheden uitbuiten

Na het vinden van de juiste toegangspunten, zal de hacker proberen zijn beveiliging binnen te dringen en toegang te krijgen tot het netwerk.

Dit is de feitelijke 'hacking'-stap waarin ze alle mogelijke manieren gebruiken om beveiligingsprotocollen, firewalls en controlesystemen te omzeilen. Ze kunnen methoden gebruiken zoals SQL-injecties, social engineering-aanvallenof cross-site scripting.

Wat is social engineering? Hier leest u hoe u kunt worden gehackt

Ontdek welke invloed social engineering op u kan hebben, plus veelvoorkomende voorbeelden om u te helpen deze schema's te identificeren en er veilig voor te blijven.

4. Geheime toegang behouden

De meeste moderne verdedigingssystemen voor cyberbeveiliging zijn evenzeer afhankelijk van detectie als bescherming. Om de aanval succesvol te laten zijn, moet de hacker lang onopgemerkt binnen het netwerk blijven genoeg om hun doel te bereiken, of het nu gaat om het lekken van gegevens, het beschadigen van systemen of bestanden of het installeren malware.

5. Rapporteren, analyseren en repareren

Nadat de aanval is afgelopen - succesvol of niet - zal de hacker met zijn bevindingen rapporteren aan zijn werkgever. Beveiligingsprofessionals analyseren vervolgens de gegevens van de aanval, vergelijken deze met wat hun bewakingssystemen rapporteren en voeren de juiste aanpassingen door om hun beveiliging te verbeteren.

6. Afspoelen en herhalen

Er is vaak een zesde stap waarbij bedrijven de verbeteringen die ze in hun beveiligingssysteem hebben aangebracht, testen door nog een penetratietest uit te voeren. Ze kunnen dezelfde ethische hacker inhuren als ze datagestuurde aanvallen willen testen of een andere voor een blinde pentest.

Ethisch hacken is niet alleen een beroep op vaardigheden. De meeste ethische hackers gebruiken gespecialiseerde besturingssystemen en software om hun werk gemakkelijker te maken en handmatige fouten te vermijden, waarbij elke pentest alles krijgt.

Dus wat gebruiken hackers voor pentesten? Hier zijn een paar voorbeelden.

Parrot Security is een op Linux gebaseerd besturingssysteem dat is ontworpen voor penetratietesten en kwetsbaarheidsbeoordelingen. Het is cloudvriendelijk, gebruiksvriendelijk en ondersteunt verschillende open source pentest-software.

Live Hacking, ook een Linux-besturingssysteem, is een favoriet van pentesters, omdat het lichtgewicht is en geen hoge hardwarevereisten stelt. Het wordt ook geleverd met voorverpakte tools en software voor penetratietesten en ethisch hacken.

Nmap is een open source intelligence (OSINT) tool dat een netwerk bewaakt en gegevens over de hosts en servers van apparaten verzamelt en analyseert, waardoor het waardevol wordt voor zowel black-, grey- als white-hat-hackers.

Het is ook platformonafhankelijk en werkt met Linux, Windows en macOS, dus ideaal voor de beginnende ethische hacker.

WebShag is ook een OSINT-tool. Het is een systeemcontrole-tool die HTTPS- en HTTP-protocollen scant en relatieve gegevens en informatie verzamelt. Het wordt gebruikt door ethische hackers die outsider-pentests uitvoeren via openbare websites.

Waar te gaan voor penetratietesten

Het testen van uw eigen netwerk met een pen is niet uw beste optie, aangezien u er waarschijnlijk uitgebreide kennis van heeft, waardoor het moeilijker wordt om buiten de gebaande paden te denken en verborgen kwetsbaarheden te vinden. U moet een onafhankelijke ethische hacker inhuren of de diensten van een bedrijf dat pentesten aanbiedt.

Toch kan het inhuren van een buitenstaander om uw netwerk te hacken zeer riskant zijn, vooral als u hen beveiligingsinformatie of toegang met voorkennis verstrekt. Dit is de reden waarom u zich moet houden aan vertrouwde externe providers. Hier is een kleine greep uit de beschikbare opties.

HackerOne is een in San Francisco gevestigd bedrijf dat penetratietesten, kwetsbaarheidsbeoordelingen en protocol-compliance-testdiensten levert.

ScienceSoft, gevestigd in Texas, biedt kwetsbaarheidsbeoordelingen, pentests, compliancetests en infrastructuurauditservices.

Raxis, gevestigd in Atlanta, Georgia, biedt waardevolle diensten op het gebied van pentesten en beoordeling van beveiligingscodes tot incidentresponstraining, kwetsbaarheidsbeoordelingen en preventieve training op het gebied van social engineering.

Optimaal gebruik maken van penetratietesten

Hoewel het nog relatief nieuw is, biedt pentesten unieke inzichten in de werking van het brein van hackers wanneer ze aanvallen. Het is waardevolle informatie die zelfs de meest bekwame cyberbeveiligingsprofessionals niet aan de oppervlakte kunnen bieden.

Pentests kunnen de enige manier zijn om te voorkomen dat u het doelwit wordt van black-hat-hackers en de gevolgen ondervindt.

Afbeelding tegoed: Unsplash.

E-mail
Waarom ethisch hacken legaal is en waarom we het nodig hebben

Ethisch hacken is een manier om de veiligheidsrisico's van cybercriminaliteit te bestrijden. Is ethisch hacken legaal? Waarom hebben we het zelfs nodig?

Gerelateerde onderwerpen
  • Veiligheid
  • Online beveiliging
Over de auteur
Anina Ot (16 Artikelen gepubliceerd)

Anina is een freelanceschrijver over technologie en internetbeveiliging bij MakeUseOf. Ze begon 3 jaar geleden met schrijven in cybersecurity in de hoop het toegankelijker te maken voor de gemiddelde persoon. Ik wil graag nieuwe dingen leren en een enorme astronomie-nerd.

Meer van Anina Ot

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Nog een stap…!

Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.

.