Penetratietest

Een penetratietest of pentest is een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. Een penetratietest vindt normaal gesproken om rechtmatige redenen plaats, met toestemming en vrijwaring van de eigenaar van de systemen die getest worden, met als doel de systemen beter te beveiligen. Indien het niet om rechtmatige redenen plaatsvindt, zonder toestemming van eigenaars van systemen, is er sprake van een inbraak, zelfs als de bedoeling van de persoon die de test uitvoert opbouwend bedoeld is. De persoon die een penetratietest uitvoert heet een penetratietester, pentester of ethisch/white hat hacker.

Soorten en testmethodenBewerken

Er zijn diverse soorten penetratietests: grofweg kan er onderscheid gemaakt worden tussen black box-, grey box- en white boxpentesten.

Black boxBewerken

Bij black box pentesten krijgt de pentester vooraf beperkte informatie om binnen de scope te testen zoals IP-adressen of een URL en moet verder door middel van eigen kennis en apparatuur de IT-omgeving kraken. Die techniek gaat uit van een externe hacker die de systemen probeert te kraken zonder voorafgaande kennis te hebben over het bedrijf. De test wordt dan ook vaak gebruikt bij het controleren van de algemene veiligheid van een applicatie, netwerk of omgeving.

Grey boxBewerken

De grey box pentest kan beschouwd worden als een combinatie van de black box en white box pentesten. De tester krijgt voorafgaand de test beperkte informatie over het netwerk en achterliggende systemen, en een gebruikersaccount in het systeem of applicatie. Die techniek simuleert een hacker of kwaadwillende insider die al een zekere toegang heeft tot het systeem of de applicatie alvorens hij de aanval start. Grey box pentesting maakt het mogelijk om de systemen te testen vanuit gebruikersperspectief. Deze techniek is bovendien efficiënter dan black box pentesting: de aanvaller kan gerichter kwetsbare plekken in het systeem opsporen en daardoor als bijgevolg ook efficiënter te werk gaan.[1]

White boxBewerken

Een white box pentest, soms ook crystal box pentest genoemd, is een methode waarbij de tester volledige toegang krijgt tot het netwerk, en onder meer broncode en architectuurdiagrammen kan inkijken en gevorderde rechten krijgt binnen het netwerk. In deze test wordt het volledige netwerk geëvalueerd op basis van kennis die niet ter beschikking staat van externe hackers.[1] Hierdoor worden white box penetratietests vaak ingezet voor kleinere, doch bedrijfskritische, applicaties.

KwaliteitsnormenBewerken

Sinds 2021 heeft het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) in samenwerking met Cyberveilig Nederland het CCV Pentest Keurmerk. Houders van dit certificaat worden periodiek gecontroleerd waarbij steekproefsgewijs wordt gekeken of wordt voldaan aan de gestelde normen en kwaliteit op basis van ISO 9001. Hierbij wordt tevens gekeken naar het niveau en certificering van de uitvoerende pentesters.

Verwante begrippenBewerken

AuditBewerken

Het verschil tussen een penetratietest en een audit (beveiligingscontrole) is, dat bij een audit geen poging wordt gedaan om daadwerkelijk in te breken, maar enkel mogelijke kwetsbaarheden in kaart gebracht worden.

Vulnerability scanBewerken

Een penetratietest bestaat voor grootste gedeelte uit handmatige tests uitgevoerd door een gespecialiseerde ethische hacker, gecombineerd met gebruik van softwareprogramma's, zoals poortscanners en proxy's. Wanneer het merendeel van de pentesten geautomatiseerd is, wordt dit een vulnerability scan genoemd.[2] Een vulnerability scan heeft in veel gevallen niet de intelligentie om kwetsbaarheden te ontdekken die van deze bekende patronen afwijken. Het voordeel van de scans is dat deze automatisch kunnen worden uitgevoerd en dus niet personeels- en tijdsgebonden zijn. Voorbeelden van dit soort softwarepakketten waarmee vulnerability scans kunnen worden uitgevoerd zijn Nessus, OpenVAS en Burp Suite.