Penetration Testing

Definitie

Penetration testing (zie ook: pentest) is een geautoriseerde, gesimuleerde cyberaanval op een systeem, netwerk of applicatie om beveiligingslekken te vinden. Het doel is kwetsbaarheden te ontdekken voordat kwaadwillenden dat doen.

Penetration testing (pentest) is een geautoriseerde, gesimuleerde cyberaanval op systemen, netwerken of applicaties om beveiligingskwetsbaarheden te ontdekken en te bewijzen voordat kwaadwillenden dat doen. Volgens het Ponemon Institute identificeert een pentest gemiddeld 33% meer kritieke kwetsbaarheden dan een vulnerability scan alleen.

Hoe werkt penetration testing?

Een pentest team probeert, net als een echte aanvaller, kwetsbaarheden te vinden en te exploiteren. Het verschil is dat dit gebeurt met toestemming en volgens vooraf afgesproken regels (Rules of Engagement). Het team documenteert elke stap en levert een rapport met gevonden kwetsbaarheden, bewijs van exploitatie, risicobeoordeling en concrete aanbevelingen.

Soorten pentests

Black box: het team heeft geen voorkennis over het doelsysteem (simuleert een externe aanvaller). White box: het team heeft volledige informatie inclusief broncode en architectuur. Grey box: het team heeft beperkte informatie zoals inloggegevens. External pentest test systemen die via internet bereikbaar zijn. Internal pentest simuleert een aanvaller die al op het interne netwerk aanwezig is. Web application pentest test webapplicaties op de OWASP Top 10 en specifieke kwetsbaarheden. Mobile app pentest test mobiele applicaties op iOS en Android. Cloud security assessment test cloudconfiguraties en -architectuur.

Verschil met vulnerability scanning

Een vulnerability scan rapporteert automatisch gevonden kwetsbaarheden. Een pentest gaat verder: het team exploiteert kwetsbaarheden daadwerkelijk om te bewijzen wat een aanvaller ermee kan bereiken. De pentest toont de werkelijke impact, niet alleen het theoretische risico.

Impact voor organisaties

Pentests zijn verplicht of sterk aanbevolen onder meerdere regelgevingen: NIS2 vereist regelmatige beveiligingstests, PCI DSS verplicht jaarlijkse pentests, DORA vereist geavanceerde resilience-tests, ISO 27001 vereist technische beveiligingsbeoordelingen.

Bescherming

Voer minimaal jaarlijks een pentest uit en na significante wijzigingen. Kies een onafhankelijke pentestleverancier. Prioriteer en verhelp gevonden kwetsbaarheden. Voer een retest uit om te bevestigen dat kwetsbaarheden zijn opgelost.

Hoe DEFION helpt

DEFION biedt het volledige spectrum aan pentestdiensten: External Pentest, Internal Pentest, Web Application Pentest, Mobile App Security Assessment, Cloud Security Assessment, Code Security Review en OT Pentest.

Gerelateerde termen

DEFION Security helpt organisaties hiermee: