Penetratietest: verschil tussen versies
Verwijderde inhoud Toegevoegde inhoud
Hyperlink hacker |
Geen bewerkingssamenvatting |
||
Regel 1:
Een '''penetratietest''' of '''pentest''' (''[[wiktionary:nl:penetreren|binnendringing]]stest'') is een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. Een penetratietest vindt normaal gesproken om rechtmatige redenen plaats, met toestemming van de eigenaars van de systemen die getest worden, met als doel de systemen juist beter te beveiligen. Indien het niet om rechtmatige redenen plaatsvindt, zonder toestemming van eigenaars van systemen, is er sprake van een inbraak, zelfs als de bedoeling van de persoon die de test uitvoert opbouwend bedoeld is.
De persoon die een penetratietest uitvoert heet wel een penetratietester of pentester, ethical hacker of white hat [[hacker]].
Een penetratietest kan handmatig plaatsvinden, met gebruik van softwareprogramma's zoals [[nmap]] en [[telnet]], of het kan geautomatiseerd plaatsvinden met softwarepakketten die dit soort complete penetratietests kunnen uitvoeren. Voorbeelden van dit soort pakketten zijn [[Nessus (software)|Nessus]], [[OpenVAS]], [[Retina (software)|Retina]], [[SecPoint]], [[GFI Languard]], [[Core Impact]] en [[SAINT]].
== Soorten PEN testen ==
Er kunnen diverse soorten penetratietests worden onderscheiden, de witte doos penetratietests (Engels: ''white box pentest''), grijze doos (Engels: ''Grey box pentest''), of de zwarte doos penetratietests (Engels: ''black box pentest''). <ref>[https://www.ultimum.nl/topics/2020/03/18/pentesten-of-penetratietesten-uitvoeren.html Pentesten of Penetratiesten in Nederland], www.ultimum.nl</ref>
=== Black box pentest ===
Bij Black box pentesten krijgt de pentester vooraf geen informatie en moet deze door middel van tools en 'hacken' de IT-omgeving kraken. Vaak handig bij het controleren van de algemene veiligheid van een applicatie, netwerk of omgeving. Bij zwarte doos penetratietest wordt er meer uitgegaan van een [[computerkraker]] van buitenaf, die zonder vooraf kennis te hebben van vertrouwelijke informatie over een organisatie zijn pogingen tot het kraken van systemen zal uitvoeren.
=== Grey box pentest ===
Het best van beide werelden komt samen bij Grey box pentesten. De pentester krijgt hierbij beperkte kennis vooraf en eventueel een klant/gebruiker account. Vervolgens wordt het systeem maximaal getest op kwetsbaarheden. Grey box testing wordt gebruikt om de veiligheid vanuit gebruikersperspectief te testen.
=== White box pentest ===
Whitebox, Glass box of Clearbox testing is een tijdrovende, maar zeer veilige methode. Hierbij wordt ingegaan op detail en wordt de hele scope onder de loep genomen. Hierdoor worden witte doos penetratietests vaak ingezet voor bedrijfskritische applicaties,, banken of overheidsinstellingen.
== Verschil Penetratietest en Audit ==
Een verschil tussen een penetratietest en een audit (beveiligingscontrole) is, dat bij een audit geen poging wordt gedaan om daadwerkelijk in te breken, maar enkel mogelijke kwetsbaarheden in kaart gebracht worden. Bij een penetratietest worden kwetsbaarheden juist wel gebruikt om in te breken.
{{Appendix}}
[[Categorie:Informatiebeveiliging]]
| |||