SECURITY PENTEST
Wil je een volledig beeld van de security van jouw bedrijf? Kies dan voor een Pentest. Tijdens een pentest doen we een volledige test van jouw beveiliging. Onze ethische hackers gaan aan de slag en simuleren echte aanvallen op jouw systemen om zo security problemen in kaart brengen.
Door onze ruime ervaring in het ontwikkelen van software kijken wij net iets verder dan de meeste security bedrijven. Wij weten als geen ander welke fouten er tijdens het ontwikkelproces gemaakt kunnen worden.
FASE 1 - Intelligence gathering & Threat modelling
De eerste stap is het verzamelen van zoveel mogelijk informatie. In het geval van een Black Box test zijn dat publiek beschikbare bronnen rondom de geteste systemen, zoals WHOIS info, DNS records en certificate transparency logs. Tevens kan informatie aangeleverd worden door de opdrachtgever. In deze fase worden ook bronnen geraadpleegd die buiten de scope van de pentest vallen; bij eventuele opvolgende acties op basis van deze fase wordt de vooraf gedefinieerde scope wel gehanteerd. De informatie verkregen uit deze fase wordt geanalyseerd en daarmee wordt vastgesteld welke informatie relevant is voor de volgende fase. Ook worden mogelijk aanvalsroutes uitgedacht.
FASE 2 - Vulnerability analysis
Met de verkregen informatie uit de eerste fase wordt dieper onderzoek uitgevoerd om kwetsbaarheden in kaart te brengen. Hierbij wordt onder andere gebruik gemaakt van spiders (bijvoorbeeld: OWASP ZAP) en netwerk scans om de systemen binnen scope automatisch te controleren op bekende issues, foutieve instellingen of mogelijke SQL injecties.
Daarnaast wordt op creatieve wijze de beveiliging verder handmatig getoetst. Hierbij wordt gebruik gemaakt van diverse standaarden zoals de OWASP Top 10.
FASE 3 - EXPLOITATION
Tijdens deze fase worden de resultaten uit de vorige fase gevalideerd door aanvallen uit te voeren met behulp van de gevonden kwetsbaarheden. Ook worden in deze fase de automatisch gevonden resultaten van de spiders geverifieerd.
FASE 4 - reporting
All bevindingen worden samengebracht in een rapport. Dit rapport bevat een overzicht van alle bevindingen, details per bevinding en er wordt aan elke bevinding een CVSS score toegekend.
Daarnaast worden er aanbevelingen toegevoegd voor het oplossen van de kwetsbaarheden.
fase 5 - re-audit
De bevindingen kunnen opgelost worden op basis van de aanbevelingen. Dit kan gedaan worden door jouw eigen organisatie of door een externe partij zoals Wolfpack. Zodra de kwetsbaarheden zijn opgelost raden wij aan om een hertest uit te laten voeren om te bevestigen dat de
kwetsbaarheden correct zijn opgelost.