Per definitie is penetratietesten een methode om een webapplicatie, netwerk of computersysteem te testen om kwetsbaarheden te identificeren. Op deze manier kunnen problemen worden opgelost voordat ze zich voordoen. Het belangrijkste doel van cybersecurity is ervoor te zorgen dat er geen gevoelige gegevens of geld wordt gestolen door cybercriminelen. Een penetratietest zal daarom proberen te achterhalen hoe een cybercrimineel de programma’s kan binnendringen. Dit gebeurt vaak door een aanval op een programma of website te simuleren. Deze test kan uitwijzen of de huidige beveiliging werkt of niet, en hoe de beveiliging zo nodig kan worden aangepast. We noemen hier enkele van de belangrijkste soorten penetratietesten.

Blасk-Bоx penetratietest

Wanneer je een Black-Box penetratietest uitvoert, heeft de penetratietester geen toegang tot interne informatie en is er geen toegang verleend tot applicaties of servers. Het is de taak van de tester om te proberen in te breken, kwetsbaarheden bloot te leggen en een aanval van een cybercrimineel na te bootsen om zo gevoelige informatie te stelen. Dit soort testen is het meest realistisch, maar zal ook meer tijd in beslag nemen. Daarnaast is er bij dit soort testen ook een grote kans om kwetsbaarheden te overzien.

Een cybercrimineel is niet gebonden aan tijd. Het kan maanden duren voordat een cybercrimineel een programma klaar heeft of een aanvalsplan heeft uitgewerkt. Daarnaast kunnen updates en patches ervoor zorgen dat er kwetsbaarheden in je programma’s sluipen. Het is dus altijd een goed idee om met regelmatige tussenpozen een penetratietest te laten uitvoeren.

Grey-Box penetratietest

Wanneer een penetratietester toegang krijgt tot enkele systemen, kan dit vallen onder de noemer Grey Box-testen. Waar een black box tester vanaf nul begint en probeert om applicaties en programma’s van buitenaf te penetreren, heeft de grey box tester al enige toegang gekregen in de vorm van een profiel, flow charts of netwerkinfrastructuurdiagrammen.

Het hebben van een grey box penetratietest simuleert een aanval van een cybercrimineel die al in de eerste beveiligingslaag is binnengedrongen. Een grey box penetratietest geeft een beter beeld van de kwetsbaarheden in het systeem en helpt om een gestroomlijnd beleid te creëren. Dit zorgt er ook voor dat er geen tijd hoeft te worden besteed aan het verkennen van de buitenste laag van de cyberbeveiliging, waardoor er meer aandacht kan worden besteed aan kwetsbaarheden in plaats van aan het vinden van een weg door de beveiliging.

White-Box penetratietest

Het derde en laatste type van penetratietesten wordt ook wel white box testing genoemd. Bij white box testen heeft de penetratietester vrije toegang tot alle applicaties, systemen en accounts. Op deze manier kan de cybersecurity-specialist een overzicht krijgen in de code om verborgen kwetsbaarheden beter te identificeren. Zo kan bijvoorbeeld slecht of onvoldoende geschreven code worden geanalyseerd en beveiligd of herschreven. White box testing is een diepgaande vorm van penetratietesten om externe dreigingen bloot te leggen, maar ook om interne kwetsbaarheden te identificeren.

Contact

Lees hier meer over de verschillende soorten penetratietesten of security audits die je door ons kan laten doen. Interesse? Neem dan contact met ons via onderstaand formulier. We beantwoorden al je vragen met veel plezier!

*Ook tijdens de corona-crisis kan je op ons rekenen. Pas goed op jezelf!*