PENTESTEN (Penetratie testen) om uw digitale weerbaarheid te testen

Bedrijven en organisaties zijn in toenemende maten afhankelijk van hun IT/OT-omgevingen voor hun dagelijkse operaties. De gegevens in deze belangrijke omgevingen zijn dan ook vaak de levensader van een organisatie. Om de veiligheid, integriteit en beschikbaarheid van uw gegevens vast te stellen , zijn pentests noodzakelijk. Een pentest toont namelijk aan in hoeverre uw beveiliging effectief is en of uw organisatie weerbaar genoeg is op het moment van de pentest. NFIR biedt pentesten op maat die op vakkundige wijze worden uitgevoerd door onze ethische hackers. NFIR maakt bovendien enkel gebruik van gestandaardiseerde en uniforme pentesten. Alleen op die manier kunnen wij u kwalitatief goede en grondige pentests garanderen.

Wat is het belang van pentesten uitvoeren voor uw organisatie?
Specifieke normeringen en wetgevingen verlangen dat u passende maatregelen neemt om uw informatiebeveiliging zo effectief en efficiënt mogelijk in te richten. Voorbeelden van die normeringen en wetgevingen zijn de ENSIA, de BIO, de ISO en de AVG. ENSIA wordt specifiek gebruikt door gemeenten, provincies, waterschappen en enkele onderdelen binnen de rijksoverheid om zich te verantwoorden over de staat van informatiebeveiliging. De ISO en AVG-wetgeving is overkoepelend en biedt de basis voor zowel de publieke en private sector. Aanvullend op de genoemde normeringen en wetgevingen, verwachten alle partijen die betrokken zijn bij uw organisatie, van klant tot aan aandeelhouder, dat u betrouwbaar bent en dat u zorgvuldig met uw informatie omgaat. Een pentest is van fundamenteel belang om hen die garantie te bieden.

Wat kunt u laten pentesten?
Tijdens de intake voorafgaand aan de pentest bepalen wij samen met u exact welke omgevingen wij pentesten. In grote lijnen kunnen wij uw (web)applicaties, websites, IT/OT-infrastructur, API- koppelingen en mobiele apps pentesten op kwetsbaarheden. Tijdens de intake bepalen we de exacte scope van het onderzoek en vanuit welk aanvalscenario’s we de pentest zullen uitvoeren. De aanvalscenario’s worden in de volgende sectie nader toegelicht.

 

De infrastructuur pentesten worden uitgevoerd voor bedrijven die de functionaliteit, beveiliging en veiligheid van hun IT-infrastructuur willen controleren. Wij geven een eerlijk en realistisch statusoverzicht van uw omgeving. De scope van onze pentesten wordt altijd samen met de klant vastgesteld. Dat betekent dat wij onze diensten in elke gewenste omgeving kunnen uitvoeren: intern, extern of in de cloud!

De veiligheid van de gegevens in uw webapplicatie is uiterst belangrijk voor u. Hoe beschermd bent u op dit moment? Als u dat precies wilt weten, kan NFIR met onze maatwerkdiensten de beveiliging van uw webapplicatie testen aan de hand van de OWASP WSTG standaard.

Een mobiele applicatie pentest is een onderdeel van functionele beveiligingstesten binnen een SDLC (Software Development Life Cycle). Het doel van een mobiele applicatie pentest is om verschillende testcases uit te voeren op de API van een systeem. Een API wordt door een mobiele applicatie gebruikt om informatie uit andere applicaties of systemen te halen. Vaak wordt een mobiele applicatie pentest samen met een API pentest uitgevoerd, omdat mobiele applicaties deze interfaces vaak gebruiken om informatie op te halen of te ontvangen.

Test uw applicaties, methoden en systemen op kwetsbaarheden middels onze API pentesten. NFIR biedt professionele API pentesting diensten, die u kunnen helpen uw applicaties te beveiligen tegen aanvallen van buitenaf die proberen ze te manipuleren en zo inbreuken veroorzaken op de vertrouwelijkheid van uw netwerk.

Operationele technologie (zoals ICS SCADA-systemen) wordt vaak gebruikt in de productie of industrie. De betrouwbaarheid en beschikbaarheid van dit type systemen is essentieel, maar veiligheid is net zo belangrijk. Operationele technologie (of OT) wordt gebruikt om missiekritische productie- en industriële systemen te besturen, te automatiseren en te optimaliseren. Met de opkomst van cyberfysieke systemen hebben OT-apparaten netwerkconnectiviteit gekregen en zijn ze steeds vatbaarder geworden voor cyberaanvallen. Daarom is het belangrijk deze systemen te beveiligen tegen kwaadwillige activiteiten. 

Welke aanvalscenario’s zijn er mogelijk (soorten pentesten)?

Een pentest kan worden uitgevoerd vanuit verschillende perspectieven, waarbij het resultaat (gedeeltelijk) afhankelijk is van het gekozen aanvalsperspectief. Tijdens een intakegesprek bepalen wij samen de scope van de pentest en adviseren wij over de wijze waarop wij voor uw organisatie de meest waardevolle pentest kunnen uitvoeren.

Van pentest naar rapportage

Nadat de pentests zorgvuldig en volgens alle geldende standaarden (o.a. OWASP WSTG, MSTG, PTES, CVSS) zijn uitgevoerd, maken wij voor u een rapportage op waarin u alle bevindingen terug kunt vinden en waarin per bevinding is aangegeven hoe de kwetsbaarheid verholpen kan worden. Het is van groot belang dat u van ons heldere, complete en bruikbare rapportages ontvangt. Kwetsbaarheden vinden is immers niet ons enige doel. Onze ethische hackers rapporteren de gevonden kwetsbaarheden op een heldere en vooral voor uw organisatie bruikbare wijze. In de pentest rapportage staat exact beschreven volgens welke standaarden getest is, wat er getest is, welke tooling gebruikt is, welke kwetsbaarheden gevonden zijn en wat het advies is voor het oplossen van deze kwetsbaarheden.

Aanvraag rapportage pentesten

Als uw organisatie door Midland Circle een penetratietest laat uitvoeren dan ontvangt u een helder, volledig en zeer bruikbaar rapport met alle bevindingen die naar voren zijn gekomen tijdens de uitvoering van de test. Om de gevonden kwetsbaarheden te mitigeren zorgen wij dat alle bevindingen duidelijk en goed reproduceerbaar gerapporteerd worden. Met onderstaand formulier kunt u een Nederlands of Engelstalig voorbeeldrapport aanvragen. Onze accountmanagers nemen contact met u op en informeren u graag over onze dienstverlening.

Pentesten door onze gecertificeerde medewerkers

Onze ethisch hackers controleren onder andere de technische weerbaarheid van (web)applicaties, websites, IT en OT-infrastructuren, API- koppelingen en mobiele apps. Heeft u een andere omgeving die u graag wilt laten controleren dan gaan wij graag met u in gesprek.

Periodieke pentesten

Een penetratietest (pentest) laat zien of uw organisatie voldoende weerbaar is tegen digitale aanvallen. Het geeft inzicht in de kwetsbaarheden van uw IT-infrastructuur, en de mogelijke gevolgen hiervan. Het is van belang dat u regelmatig de veiligheid en weerbaarheid test. Zeker als u nieuwe systemen aan uw infrastructuur toevoegt, maar ook omdat er dagelijks nieuwe kwetsbaarheden worden ontdekt in al gebruikte hard- en software.

ISO27001 en NEN7510

Bent u bezig met het verkrijgen van een ISO27001 certificering of de NEN 7510 (zorgsector)? Hoffmann kan door middel van een penetratietest onderzoeken of de technische beveiliging van uw IT systemen afdoende is.