Een pentest is de populaire afkorting voor een “penetratie test”. Dit is een goedaardig georganiseerde poging om in te breken in uw IT systemen. De bevindingen van zo’n test worden gerapporteerd met aanbevelingen. Kwetsbaarheden worden geclassificeerd naar risico-blootstelling en voorzien van praktisch advies hoe deze kwetsbaarheden op te lossen zijn.
Aanleidingen voor pentests
Welke situaties vragen om een pentest. Veel bedrijven kiezen hiervoor als er nieuwe componenten aan de IT worden toegevoegd, zoals bijvoorbeeld een nieuwe server of applicatie. Ook bij de lancering van een webdienst of website, is het verstandig om vast te stellen of de omgeving hacker-proof is.
Daarbij worden pentests ook ingezet als middel om de huidige IT leverancier te controleren. Natuurlijk kloppen de SLA’s, de processen en de certificering. Maar, zoals de Engelsen zeggen: the proof of the pudding is in the eating!
Soorten pentests
Penetratie testen bestaan er in een aantal varianten:
- Black Box
De ‘hacker’ krijgt geen informatie over de IT-infrastructuur, net als een echte hacker met kwaad in de zin. Wel is het gebruikelijk om de scope van de pentest af te spreken. Houd er rekening mee dat het de minst grondige test vormt, omdat de hacker geen informatie heeft over het systeem en mogelijke ingangen. - Grey Box
De hackers krijgen beperkte informatie over de IT-infrastructuur, bijvoorbeeld over een klant- of medewerkersaccount. Ze vormen een realistisch uitgangspunt, bijvoorbeeld om te testen wat er mogelijk is als een klant of een medewerker kwaad in de zin krijgt. - White Box
De meest grondige pentest voor de website of het hele bedrijf uitvoeren? Dan is de White Box een goede keuze. Soms spreken bedrijven ook wel van een Clear Box of Glass Box, omdat de hacker vooraf volledige openheid van zaken krijgt.
Uiteraard kunnen we u adviseren over het type pentest het best geschikt is, afhankelijk van wat u voor de organisatie wilt laten testen. Gaat het u om de volledige beveiliging, om de website of om een specifieke applicatie? Aan de hand daarvan vertellen we u graag meer over de mogelijkheden en hoe we u daarmee kunnen helpen. Op die manier verbeteren we de security van bedrijven, door de digitale deuren zo goed mogelijk dicht te timmeren.
Wat kost een pentest?
Benieuwd wat de pentest kosten zijn of op welke prijzen u moet rekenen? Dit hangt sterk samen met het type test dat we voor u doen. Gaat het om een Black Box-test met een beperkte scope? De kosten vallen dan lager uit dan wanneer we een White Box-test doen en volledige openheid van zaken geven. Hier gaat meer tijd inzitten en het is een meer grondige test. Op die manier krijgt u een beter beeld van de huidige beveiligingssituatie. Blijkt uit de pentest dat er zwakke plekken zitten in de beveiliging van de IT- en netwerkinfrastructuur? U krijgt concrete aanbevelingen, waarmee de bevindingen kunnen worden opgelost. Op die manier zorgen we ervoor dat we de systemen goed beveiligen, zodat werkelijke hackers daar geen toegang toe kunnen krijgen. Bovendien kunnen we de pentest later nog eens herhalen, om vast te stellen of de situatie verbeterd is.
Veelgestelde vragen
Een penetratietest wordt uitgevoerd door een zogenaamde ethical hacker. Deze ethical hacker onderzoekt op legale wijze uw systemen, zoals bijvoorbeeld uw website of webapplicatie op kwetsbaarheden. Hiermee krijgen u en uw organisatie een helder inzicht in de risico’s en kwetsbaarheden van de in gebruik zijnde applicaties en systemen.
De resultaten van een uitgevoerde penetratietest vormen de basis voor een verbetering van de cyberbeveiliging van uw systemen. Zonder inzicht in waar u kwetsbaar bent is het tenslotte onmogelijk om verbeteringen door te voeren. Het uitvoeren van periodieke penetratietesten resulteert in een veiligere website, applicatie of zelfs complete IT-omgeving. Hiermee worden de risico’s voor uw organisatie drastisch verkleint en maakt u uw organisatie dus automatisch veiliger en beter bestand tegen de cyberdreigingen van vandaag de dag.
De kosten van een penetratietest zijn sterk afhankelijk van welk type test er uitgevoerd wordt en op welk systeem. Bijna altijd komen er kwetsbaarheden aan het licht als resultaat van een penetratietest. Het mitigeren van deze kwetsbaarheden bepaalt voor een groot gedeelte de totale kosten van de penetratietest en de daaropvolgende corrigerende werkzaamheden. Het is daarom onmogelijk om een vaste prijs te bepalen voor een penetratietest. Zeker is echter wel dat de investering in een penetratietest verbleekt bij de schade die uw organisatie oploopt bij een hack.