Ethical Hacking

Gaande van een inspectie van je bedrijfsnetwerk tot Red Teaming

Hackers zijn creatief en zijn hun slachtoffers vaak een stap voor. Je kan onze ethische hackers inschakelen om je netwerkinfrastructuur en -systemen te inspecteren en te analyseren. Met hun bevindingen helpen ze om je digitale omgeving veiliger te maken.

Mogelijke Ethische Hacks

Bedrijfsnetwerk

Wij controleren of hackers je interne netwerk kunnen binnendringen en ook of kwaadwillende medewerkers of bezoekers gegevens van binnenuit kunnen misbruiken.

Web Applicaties

Websites, e-shops, portalen of CRM-systemen zijn een toegangspoort van het internet naar gevoelige gegevens. Wij identificeren alle kwetsbaarheden en adviseren over te nemen maatregelen.

WiFi

Hackers kunnen gemakkelijk inbreken via WiFi. Het signaal wordt dan buiten opgepikt door criminelen, zodat ze op afstand en rustig kunnen hacken zonder dat ze worden opgemerkt.

Software Defined Radio

Steeds meer communicatie tussen onze systemen verloopt draadloos. Software Defined Radio (SDR) heeft de risico's enorm vergroot. We brengen alles in kaart (denk aan IoT).

ICS-SCADA

Industriële besturingssystemen en SCADA zijn verbonden met internet en bedrijfsnetwerken, maar zijn niet optimaal beveiligd. Wij controleren dit grondig.

Mobiele Applicaties

Mobiele apps verwerken gevoelige data en zijn op verschillende manieren gekoppeld aan andere (web)diensten. We testen alle mogelijke verbindingen van de apparaten en diensten.

Compliance Audits

Een pentest is vaak een verplicht onderdeel van een ISO 27001- of GDPR-certificeringsproces. Wij controleren grondig of je aan alle eisen voldoet.

Cloud Security

Je bedrijf werkt in de cloud. Maar zijn de links naar je eigen omgeving wel veilig? Misschien creëren ze onvoorziene beveiligingslekken?

Andere Hacking Oplossingen

Red Teaming

Wij voeren realistische cyberaanvallen uit, met de allernieuwste hackertechnieken, om je beveiliging te testen. De fysieke wereld wordt gecombineerd met de digitale. Dit alles zodat je voorbereid bent op een echte aanval.

Check-ups

Door telewerken en migraties naar de cloud kan personeel flexibel werken vanuit verschillende locaties. Daarbij is weinig rekening gehouden met veiligheidsrisico's. De check-ups detecteren alle beveiligingslekken in je cloud omgeving.

Mystery Guest

Hoe ver komt een onaangekondigde bezoeker fysiek in je bedrijf? Wij komen incognito ter plaatse, testen het uit en leveren een uitgebreid rapport.

Forensisch Onderzoek

Als je het slachtoffer bent van een cyberinbraak of ransomware, sporen we het hackpad op om de malware te vinden, zodat je de veiligheid van je netwerk kunt herstellen.

Hack-proof Tools

We hebben online back-ups, een cyberverzekering, de meest efficiënte anti-ransomwarescanner en een veiligheidsscore om de digitale voetafdruk van je eigen bedrijf en je leveranciers te controleren.

Cyber Threat Hunting

Door middel van proactieve en diepgaande forensische analyse kunnen we controleren of je gehackt bent en of er systemen zijn die informatie lekken.

Klassieke Stijl

Met deze formule testen we op de traditionele manier of je IT-beveiliging voldoende is om hackers te weren. Tegen een vast tarief voeren onze pentesters een black box, grey box of white box uit. Je bent in goede handen. Al onze testers werken met een ethische code en ze zijn allemaal toonaangevend op het gebied van menselijk inzicht en creativiteit. Dat is cruciaal voor een goede test.

BLACKBOX TEST

De tester krijgt geen informatie vooraf, net zoals in het echt.

Dus kruipt hij in de huid van een echte hacker.

GREYBOX TEST

Sommige informatie wordt beschikbaar gesteld, zoals inlog gegevens.

Er wordt getest zoals een geïnformeerde hacker of malafide insider.

WHITEBOX TEST

In deze test wordt volledige inzage vooraf gegeven, zoals de broncode.

Met deze methode vinden we meer complexe en verborgen fouten.

No cure No pay (NCNP)

Met onze formule "No cure No pay" zijn we pioniers in de ethische hackingwereld en als klein of middelgroot bedrijf kan je alleen maar winnen! Als onze hackers geen fouten vinden, betaal je niets. Als ze wel fouten vinden, betaal je een vooraf bepaald tarief.

100% TRANSPARANTIE

Je ontmoet de hacker van tevoren. Zo weet je altijd wie er hackt en wanneer.

Je weet ook altijd van tevoren hoeveel er in rekening wordt gebracht.

BUDGETVRIENDELIJK

Als er geen bugs of datalekken worden gevonden, kost de service niets.

Je kan dus ook werken met lage budgetten voor de hoogste veiligheid.

PERSOONLIJKE DEBRIEF

Na de opdracht zal de ethische hacker de resultaten met je bespreken.

Bovendien zal hij je bedrijf een duidelijke cybersecurity score geven.

Prijzen NCNP op basis van Kriticiteit en Vooraf gedefinieerde bugs

Lage urgentie (K4)

Kriticiteit van 0 tot

€ 0,- per fout

Medium urgentie (K3)

Kriticiteit van 25 tot

€ 250,- per fout

Hoge urgentie (K2)

Kriticiteit van 50 tot

€ 750,- per fout

Zeer kritisch (K1)

Kriticiteit van 75 tot

€ 1250,- per fout

Kriticiteit 4 - Lage urgentie

Kriticiteit 3 - Medium urgentie

Server Security Misconfiguratie - Misconfigureerde DNS (basic subdomain takeover)
Server Security Misconfiguratie - Mailserver misconfiguratie (geen spoofing-bescherming op e-maildomein)
Server-Side Injectie - HTTP response manipulatie (response splitsen) (CRLF)
Server-Side Injectie - Content spoofing (iframe Injectie)
Broken Authenticatie en Session Management - Twee Factor Authenticatie (2FA) Bypass
Gebroken Authenticatie en Sessiebeheer - Zwakke aanmeldingsfunctie (HTTPS niet beschikbaar of HTTP standaard)
Gebroken Authenticatie en Sessiebeheer - Sessie fixatie (remote attack vector)
Gevoelige gegevens blootstelling - EXIF Geolocatiegegevens niet gestript van geüploade beelden (automatische user enumeratie)
Cross-Site Scripting (XSS) - Opgeslagen geprivilegieerde gebruiker naar Privilege Elevatie
Cross-Site Scripting (XSS) - Opgeslagen CSRF/URL-Based
Cross-Site Scripting (XSS) - Reflected Non-Self
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne scan en/of medium Impact)
Application-Level Denial-of-Service (DoS) - Hoge impact en/of medium moeilijkheid
Client-Side Injectie - Binary planting (standaard map privilege escalatie)
Automotive Security Misconfiguratie - Infotainment (Code executie (geen CAN Bus Pivot))
Automotive Security Misconfiguratie - Infotainment (onbevoegde toegang tot services (API/eindpunten))
Automotive Security Misconfiguratie - RF Hub (Data lekkage / pull encryptiemechanisme)

Kriticiteit 2 - Hoge urgentie

Server Security Misconfiguratie - Verkeerd geconfigureerde DNS (Subdomain takeover)
Server Security Misconfiguratie - OAuth Misconfiguratie (Account takeover)
Blootstelling aan gevoelige gegevens - Zwakke wachtwoord-reset implementatie (Token lekkage via Host Header Poisoning)
Cross-Site Scripting (XSS) - Opgeslagen (Niet-Privileged User naar iedereen)
Gebroken toegangscontrole (BAC) - Server-Side Request Forgery (SSRF) (interne hoge impact)
Cross-Site Request Forgery (CSRF) - Applicatie-breed
Toepassingsniveau Denial-of-Service (DoS) - Kritieke impact en/of gemakkelijke moeilijkheidsgraad
Onveilig OS/Firmware - Hardcoded Password ( Niet-Privileged User)
Automotive Security Misconfiguratie - Infotainment (Code Execution - CAN Bus Pivot)
Automotive Security Misconfiguratie - RF Hub CAN Injectie (Interactie)

Kriticiteit 1 - Zeer kritisch

Misconfiguratie van de serverbeveiliging - Gebruik van de standaardcertificaten
Server-Side Injectie - Bestandsinjectie Lokaal
Server-Side Injectie - Code-uitvoering op afstand (RCE)
Server-Side Injectie - SQL Injectie
Server-Side Injectie - XML Externe Entiteit Injectie (XXE)
Gebroken Authenticatie en Sessiebeheer - Authenticatiebypass
Blootstelling aan gevoelige gegevens - Kritiekgevoelige gegevens (openbaarmaking van wachtwoorden)
Blootstelling aan gevoelige gegevens - Kritisch gevoelige gegevens (privé API-sleutels)
Onveilig OS/Firmware - Commando-injectie
Onveilig OS/Firmware - Hardcoded Password (geprivilegieerde gebruiker)
Gebroken cryptografie - Cryptografische fout (onjuist gebruik)
Automotive Security Misconfiguratie - Infotainment (PII Lekkage)
Automotive Security Misconfiguratie - RF Hub (Key Fob Cloning)

Alle testen worden uitgevoerd op een zeer grondige en professionele manier en volgens de CVSS standaard.