Pentesting

Beveiligingsonderzoeken

Naast het voldoen aan normen en het behalen van certificeringen is het ook van belang om regematig netwerken en software te laten testen op kwetsbaarheden. Dit kan door het uit laten voeren van beveiligingsonderzoeken. Er zijn grofweg drie manieren om dat te doen:

  • Black-box: De opdrachtgever levert zeer weinig informatie voorafgaand aan het onderzoek
  • Grey-box: De opdrachtgever levert iets meer informatie voorafgaand aan het onderzoek. Bijvoorbeeld (test)credentials voor een applicatie
  • Crystal-box: De opdrachtgever levert zo veel mogelijk informatie voorafgaand aan het onderzoek om een zo goed mogelijk beeld te geven van de te onderzoeken componenten zodat er op een zoo efficient mogelijke manier de meeste kwetsbaarheden aan het licht kunnen komen

Het is hierbij niet van belang de bevindingen daadwerkelijk uit te buiten, maar deze op een risico gebaseerde manier (kans X impact) te beschrijven in een rapport zodat deze opgelost kunnen worden voordat ze daadwerkelijk misbruikt worden.

Penetratietest

Daarnaast bestaat de mogelijkheid om een penetratietest uit te voeren. Hierbij is het wél de bedoeling om de gevonden kwetsbaarheden uit te buiten en het netwerk binnen te dringen. Dit brengt echter een aantal risico’s met zich mee die we voorafgaand aan het onderzoek duidelijk zullen toelichten.