Ethical Hacking

Gaande van grondige manuele Pentesting tot Red Teaming

Hackers zijn creatief en zijn hun slachtoffers vaak een stap voor. Je kan onze ethische hackers inschakelen om je netwerkinfrastructuur, web- en mobiele applicaties, API's en verbindingen te pentesten. Met hun bevindingen helpen ze je om je digitale omgeving veiliger te maken.

Dedicated Hackertijd

Intake call voor tijdsinschatting
Je unieke project voor een vaste prijs

Gedocumenteerde Kwetsbaarheden

Lijst van alle kwetsbaarheden
Geclassificeerd op kriticiteit

Uitgebreide Rapportage

Volledig rapport met alle details
Met executive summary

Duidelijke Aanbevelingen

Oplossingsgericht advies
Onafhankelijk en onbevooroordeeld

Score Veiligheid Bedrijf

Hoe je scoort tegenover hackers
Gebaseerd op kriticiteit van fouten

Gepersonaliseerde Debriefing

Uitgelegd in mensentaal
We blijven stand-by na de test

Wat kan je kiezen?

BLACKBOX TEST

Pentester heeft geen voorkennis
Complete test van buitenaf

TIMEBOX TEST

Pentester op basis van tijd
We dringen zo ver mogelijk door

GREYBOX TEST

Partiële informatie pentester
Combinatietest extern en intern

BUDGETBOX TEST

Pentester op basis van budget
We dringen zo ver mogelijk door

WHITEBOX TEST

Volledige voorkennis pentester
Complete test van binnenuit

RED TEAMING TEST

Alle mogelijke hacking en social engineering technieken
We werken met vooraf gedefinieerde doelstellingen

Mogelijke Pentest Doelwitten

Web Applicaties

Websites, e-shops, portalen of CRM-systemen zijn een toegangspoort van het internet naar gevoelige gegevens. Wij identificeren alle kwetsbaarheden en adviseren over te nemen maatregelen.

Mobiele Applicaties

Mobiele apps verwerken gevoelige data die op diverse manieren gekoppeld zijn aan andere (web)diensten en systemen. We testen alle mogelijke koppelingen van iOS, Android en Windows apps met of zonder de bijbehorende webapplicatie.

WiFi

Hackers kunnen gemakkelijk inbreken via WiFi. Het signaal wordt dan buiten opgepikt door criminelen, zodat ze op afstand en rustig kunnen hacken zonder dat ze worden opgemerkt.

Compliance Audits

Een pentest is vaak een verplicht onderdeel van een ISO 27001- of GDPR-certificeringsproces. Wij controleren grondig of je aan alle eisen voldoet.

Software Defined Radio

Steeds meer communicatie tussen onze systemen verloopt draadloos. Software Defined Radio (SDR) heeft de risico's enorm vergroot. We brengen alles in kaart (denk aan IoT).

ICS-SCADA

Industriële besturingssystemen en SCADA zijn verbonden met internet en bedrijfsnetwerken, maar zijn niet optimaal beveiligd. Wij controleren dit grondig.

Cloud Security

Je bedrijf werkt in de cloud. Maar zijn de links naar je eigen omgeving wel veilig? Misschien creëren ze onvoorziene beveiligingslekken?

Bedrijfsnetwerk

Wij controleren of hackers je interne netwerk kunnen binnendringen en ook of kwaadwillende medewerkers of bezoekers gegevens van binnenuit kunnen misbruiken.

Andere Hacking Oplossingen

Red Teaming

We voeren realistische cyberaanvallen uit, met de nieuwste hacktechnieken, om je beveiliging te testen. Het is een complete cyberbrandoefening op het personeel en het bedrijfsnetwerk. Zodat je voorbereid bent op een echte aanval.

Check-ups

Door telewerken en migraties naar de cloud kan personeel flexibel werken vanuit verschillende locaties. Daarbij is weinig rekening gehouden met veiligheidsrisico's. De check-ups detecteren alle beveiligingslekken in je cloud omgeving.

Mystery Guest

Hoe ver komt een onaangekondigde bezoeker fysiek in je bedrijf? Wij komen incognito ter plaatse, testen het uit en leveren een uitgebreid rapport.

Hack-proof Tools

We hebben online back-ups, een cyberverzekering, de meest efficiënte anti-ransomwarescanner en een veiligheidsscore om de digitale voetafdruk van je eigen bedrijf en je leveranciers te controleren.

Cyber Threat Hunting

Door middel van proactieve en diepgaande forensische analyse kunnen we controleren of je gehackt bent en of er systemen zijn die informatie lekken.

Kriticiteit en vooraf gedefinieerde bugs

Lage urgentie (K4)

Kriticiteit van 0 tot

Medium urgentie (K3)

Kriticiteit van 25 tot

Hoge urgentie (K2)

Kriticiteit van 50 tot

Zeer kritisch (K1)

Kriticiteit van 75 tot

Kriticiteit 4 - Lage urgentie

Kriticiteit 3 - Medium urgentie

Server Security Misconfiguratie - Misconfigureerde DNS (basic subdomain takeover)
Server Security Misconfiguratie - Mailserver misconfiguratie (geen spoofing-bescherming op e-maildomein)
Server-Side Injectie - HTTP response manipulatie (response splitsen) (CRLF)
Server-Side Injectie - Content spoofing (iframe Injectie)
Broken Authenticatie en Session Management - Twee Factor Authenticatie (2FA) Bypass
Gebroken Authenticatie en Sessiebeheer - Zwakke aanmeldingsfunctie (HTTPS niet beschikbaar of HTTP standaard)
Gebroken Authenticatie en Sessiebeheer - Sessie fixatie (remote attack vector)
Gevoelige gegevens blootstelling - EXIF Geolocatiegegevens niet gestript van geüploade beelden (automatische user enumeratie)
Cross-Site Scripting (XSS) - Opgeslagen geprivilegieerde gebruiker naar Privilege Elevatie
Cross-Site Scripting (XSS) - Opgeslagen CSRF/URL-Based
Cross-Site Scripting (XSS) - Reflected Non-Self
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne scan en/of medium Impact)
Application-Level Denial-of-Service (DoS) - Hoge impact en/of medium moeilijkheid
Client-Side Injectie - Binary planting (standaard map privilege escalatie)
Automotive Security Misconfiguratie - Infotainment (Code executie (geen CAN Bus Pivot))
Automotive Security Misconfiguratie - Infotainment (onbevoegde toegang tot services (API/eindpunten))
Automotive Security Misconfiguratie - RF Hub (Data lekkage / pull encryptiemechanisme)

Kriticiteit 2 - Hoge urgentie

Server Security Misconfiguratie - Verkeerd geconfigureerde DNS (Subdomain takeover)
Server Security Misconfiguratie - OAuth Misconfiguratie (Account takeover)
Blootstelling aan gevoelige gegevens - Zwakke wachtwoord-reset implementatie (Token lekkage via Host Header Poisoning)
Cross-Site Scripting (XSS) - Opgeslagen (Niet-Privileged User naar iedereen)
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne hoge impact)
Cross-Site Request Forgery (CSRF) - Applicatie-breed
Toepassingsniveau Denial-of-Service (DoS) - Kritieke impact en/of gemakkelijke moeilijkheidsgraad
Onveilig OS/Firmware - Hardcoded Password ( Niet-Privileged User)
Automotive Security Misconfiguratie - Infotainment (Code Execution - CAN Bus Pivot)
Automotive Security Misconfiguratie - RF Hub CAN Injectie (Interactie)

Kriticiteit 1 - Zeer kritisch

Misconfiguratie van de serverbeveiliging - Gebruik van de standaardcertificaten
Server-Side Injectie - Bestandsinjectie Lokaal
Server-Side Injectie - Code-uitvoering op afstand (RCE)
Server-Side Injectie - SQL Injectie
Server-Side Injectie - XML Externe Entiteit Injectie (XXE)
Gebroken Authenticatie en Sessiebeheer - Authenticatiebypass
Blootstelling aan gevoelige gegevens - Kritiekgevoelige gegevens (openbaarmaking van wachtwoorden)
Blootstelling aan gevoelige gegevens - Kritisch gevoelige gegevens (privé API-sleutels)
Onveilig OS/Firmware - Commando-injectie
Onveilig OS/Firmware - Hardcoded Password (geprivilegieerde gebruiker)
Gebroken cryptografie - Cryptografische fout (onjuist gebruik)
Automotive Security Misconfiguratie - Infotainment (PII Lekkage)
Automotive Security Misconfiguratie - RF Hub (Key Fob Cloning)

Alle testen worden uitgevoerd op een zeer grondige en professionele manier volgens de CVSS standaard.

Ditjes en Datjes over Pentesting

Wat zijn Pentesten?

Een penetratietest, of pentest, is een beveiligingstest van de IT-infrastructuur door op een gecontroleerde manier kwetsbaarheden uit te buiten. Deze kwetsbaarheden kunnen bestaan in besturingssystemen, diensten en toepassingsfouten, onjuiste configuraties, of riskant gedrag van eindgebruikers. Dergelijke beoordelingen zijn nuttig om de doeltreffendheid van verdedigingsmechanismen te valideren, evenals de naleving van het beveiligingsbeleid door de eindgebruiker.

Wat is het doel van Penetratietesten?

Het fundamentele doel van penetratietests is het meten of systemen of eindgebruikers kunnen worden gecompromitteerd en het evalueren van de gevolgen die dergelijke incidenten hebben op de betrokken bronnen of activiteiten. Je kan penetratietests zien als het aanstellen van een inbreker om te zien of die in je huis kan binnendringen.

Zijn Pentests belangrijk?

Ja. Pentests evalueren de mate waarin je bedrijf in staat is om netwerken, applicaties, endpoints en gebruikers te beschermen tegen externe of interne hacking. De tests leveren gedetailleerde informatie over reële, exploiteerbare beveiligingsrisico's om proactief de meest kritieke kwetsbaarheden vast te stellen en te bepalen welke acties nodig zijn. Door je cyberbeveiliging en beveiligingspersoneel regelmatig op de proef te stellen, hoef je je niet langer hypothetisch af te vragen hoe een aanval eruit zal zien en hoe je daarop zal reageren. Je krijgt dus een duidelijk beeld van hoe je bedrijf scoort ten opzichte van hackers.

Hoe vaak moet je een Pentest uitvoeren?

Om te beginnen, als je er nog nooit één hebt laten doen, dan is het hoog tijd! Penetratietesten moeten op regelmatige basis worden uitgevoerd om een consistenter IT- en netwerkbeveiligingsbeheer te garanderen. Naast de regelmatig geplande analyses en beoordelingen die vereist zijn door wettelijke mandaten, moeten er tests worden uitgevoerd wanneer:

Een netwerkinfrastructuur of applicaties worden toegevoegd
Upgrades van infrastructuur of applicaties worden uitgevoerd
Beveiligingspatches worden toegepast
Beleidslijnen van eindgebruikers worden gewijzigd
Nieuwe kantoorlocaties worden opgezet

Wat doe je na een Pentest?

Het doornemen van de resultaten van pentests biedt een uitstekende gelegenheid om de plannen voor de toekomst te bespreken en je algemene beveiligingsbeleid te herzien. Bovendien zal het doorgeven van deze resultaten met bruikbare inzichten aan besluitvormers binnen de organisatie het risico dat deze kwetsbaarheden vormen beter benadrukken, evenals de positieve impact die het verhelpen ervan zal hebben op het bedrijf.

Wat is het verschil tussen Vulnerability Scans en Pentests?

Terwijl scans op kwetsbaarheden (100% geautomatiseerd) een waardevol beeld geven van de mogelijke zwakke plekken in de beveiliging, kunnen penetratietests (grotendeels manueel) extra context toevoegen door te kijken of de kwetsbaarheden kunnen worden gebruikt om toegang te krijgen tot uw omgeving. Pen tests kunnen ook helpen bij het prioriteren van herstelplannen op basis van wat het meeste risico oplevert.