TAlgemene Voorwaarden

Penetratietest: betekenis, voorbeelden, typen en stadia

penetratie test
Bron afbeelding: Invicti
Inhoudsopgave Verbergen
  1. Wat is een penetratietest?
  2. Welke voordelen biedt penetratietesten?
  3. Wat zijn de stadia van pentesten?
    1. #1. Verkenning.
    2. # 2. Scannen
    3. #3. Toegang verkrijgen.
    4. #4. Toegang open houden
  4. Typen penetratietesten
    1. #1. Penetratietesten van interne en externe infrastructuur
    2. #2. Draadloos penetratieonderzoek
    3. #3. Testen van webapplicaties
    4. #4. Testen van mobiele applicaties
    5. #5. Beoordeling van de build en configuratie
    6. #6. Social engineering
    7. #7. Testen op cloudpenetratie
    8. #8. Penetratietesten in een Agile omgeving
  5. Methoden voor penetratietesten
    1. #1. Externe evaluatie
    2. #2. Interne evaluatie
    3. #3. Blind testen
    4. #4. Dubbelblind testen
    5. #5. Gericht testen
  6. Wat is de rol van een penetratietester?
  7. Hoeveel kan een pentester verdienen?
    1. Salaris van een Penetratietester op basis van ervaring
    2. Salaris van een penetratietester op basis van opleiding
    3. Salaris van een penetratietester per locatie
  8. Hoeveel toegang hebben pentesters?
  9. Wat zijn tools voor penetratietesten?
    1. Wat zijn de soorten pentesttools?
  10. Wat onderscheidt pentesten van geautomatiseerd testen?
    1. Handmatige pentesten
    2. Geautomatiseerde testen
  11. Wat zijn de voor- en nadelen van pentesten?
    1. Voordelen van pentesten
    2. De nadelen van pentesten
  12. Wat zijn de twee veelgebruikte penetratietesten?
  13. Waarom gebruiken we penetratietesten?
  14. Samenvatten,
    1. Gerelateerde artikelen
    2. Referenties

Penetratietesten worden veel gebruikt als aanvulling op een webapplicatie-firewall (WAF) in het kader van webapplicatiebeveiliging. Een penetratietest, ook wel pentest genoemd, simuleert een cyberaanval op uw computersysteem om misbruikbare fouten te identificeren. De resultaten van de penetratietest kunnen vervolgens worden gebruikt om uw WAF-beveiligingsbeleid te verfijnen en gevonden kwetsbaarheden aan te pakken. Hier is alles wat u moet weten over een penetratietest, inclusief de verschillende soorten en methoden.

Wat is een penetratietest?

Een penetratietest (pentest) is een wettelijk goedgekeurde gesimuleerde aanval op een computersysteem om de veiligheid ervan te beoordelen. Penetratietesters gebruiken dezelfde tools, strategieën en processen als aanvallers om de commerciële implicaties van systeemfouten te identificeren en te tonen. Penetratietests repliceren doorgaans een aantal aanvallen die een bedrijf in gevaar kunnen brengen. Ze kunnen bepalen of een systeem sterk genoeg is om aanvallen van zowel geauthenticeerde als niet-geverifieerde posities en van verschillende systeemrollen te weerstaan. Een pentest kan ingaan op elk aspect van een systeem met de juiste reikwijdte.

Welke voordelen biedt penetratietesten?

Idealiter worden software en systemen vanaf het begin ontwikkeld met als doel potentieel gevaarlijke beveiligingsproblemen te elimineren. Een pentest biedt informatie over hoe goed dat doel is bereikt. Hier leest u hoe pentesten gunstig kan zijn voor een bedrijf.

  • Identificeer systeemfouten
  • Bepaal de robuustheid van de besturing.
  • Assisteren bij de naleving van regelgeving inzake gegevensprivacy en -beveiliging (bijvoorbeeld PCI DSS, HIPAA en AVG).
  • Geef het management kwalitatief en kwantitatief bewijs van de bestaande beveiligingsstatus en budgetprioriteiten.

Wat zijn de stadia van pentesten?

Pentesters fungeren als gemotiveerde tegenstanders om aanvallen na te bootsen. Ze volgen meestal een plan dat de volgende stappen omvat:

#1. Verkenning.

Verzamel zoveel mogelijk informatie over het doelwit uit openbare en privébronnen om de aanvalsaanpak te begeleiden. Zoeken op internet, het ophalen van informatie over domeinregistratie, social engineering, niet-opdringerige netwerkscanning en af ​​en toe dumpster-duiken zijn allemaal bronnen. Deze gegevens helpen pentesters bij het in kaart brengen van het aanvalsoppervlak van het doelwit en mogelijke kwetsbaarheden. Verkenning varieert afhankelijk van de reikwijdte en doelstellingen van de pentest; het kan net zo eenvoudig zijn als een telefoontje plegen om de mogelijkheden van een systeem te doorlopen.

# 2. Scannen

Pentesters gebruiken tools om te zoeken naar fouten in de doelwebsite of -systeem, zoals open services, beveiligingsproblemen van applicaties en open source-kwetsbaarheden. Pentesters gebruiken een reeks hulpmiddelen op basis van wat ze ontdekken tijdens verkenning en testen.

#3. Toegang verkrijgen.

De beweegredenen van aanvallers kunnen variëren van het stelen, wijzigen of vernietigen van gegevens tot het verschuiven van fondsen of gewoon het beschadigen van de reputatie van een bedrijf. Pentesters beslissen welke tools en tactieken ze gebruiken om toegang tot het systeem te krijgen, hetzij door een fout zoals SQL-injectie of door malware, social engineering of iets anders.

#4. Toegang open houden

Zodra pentesters toegang hebben gekregen tot het doelwit, moet hun gesimuleerde aanval lang genoeg verbonden blijven om hun doelen van data-exfiltratie, wijziging of misbruik van functionaliteit te bereiken. Het is noodzakelijk om de mogelijke impact aan te tonen.

Typen penetratietesten

Voordat u een aanbieder kiest, is het van cruciaal belang om de vele soorten pentesten te begrijpen die beschikbaar zijn, aangezien opdrachten verschillen in focus, diepte en duur. Hieronder volgen voorbeelden van veelvoorkomende ethische hackactiviteiten:

#1. Penetratietesten van interne en externe infrastructuur

Een evaluatie van de netwerkinfrastructuur op locatie en in de cloud, inclusief firewalls, systeemhosts en apparaten zoals routers en switches. Interne penetratietesten, gericht op activa binnen het bedrijfsnetwerk, of externe penetratietesten, gericht op internetgerichte infrastructuur, kunnen worden gebruikt. Om een ​​test te kunnen uitvoeren, moet u het aantal interne en externe IP's weten dat moet worden onderzocht, de grootte van het netwerksubnet en het aantal sites.

#2. Draadloos penetratieonderzoek

Een WLAN-test (Wireless Local Area Network) die zich expliciet richt op het WLAN van een organisatie en op draadloze protocollen zoals Bluetooth, ZigBee en Z-Wave. Helpt bij het opsporen van frauduleuze toegangspunten, coderingsfouten en WPA-kwetsbaarheden. Testers moeten het aantal draadloze en gastnetwerken, locaties en unieke SSID's weten die moeten worden beoordeeld om een ​​opdracht te kunnen uitvoeren.

#3. Testen van webapplicaties

Een onderzoek van websites en aangepaste programma's die via internet worden verspreid om coderings-, ontwerp- en ontwikkelingsfouten te identificeren die kwaadwillig kunnen worden misbruikt. Voordat u een testprovider benadert, moet u het aantal apps bepalen dat moet worden getest, evenals het aantal statische pagina's, dynamische sites en invoervelden dat moet worden geëvalueerd.

#4. Testen van mobiele applicaties

Testen van mobiele applicaties op platforms zoals Android en iOS om kwetsbaarheden in authenticatie, autorisatie, gegevenslekken en sessieafhandeling te ontdekken. Om een ​​test te kunnen uitvoeren, moeten providers weten op welke besturingssystemen en versies ze een app willen laten evalueren, het aantal API-aanroepen en de vereisten voor jailbreaking en rootdetectie.

#5. Beoordeling van de build en configuratie

Onderzoek netwerkbuilds en -configuraties op fouten op web- en app-servers, routers en firewalls. Het aantal builds, besturingssystemen en applicatieservers dat moet worden getest, is kritieke informatie voor het afbakenen van dit soort betrokkenheid.

#6. Social engineering

Een evaluatie van uw systemen en het vermogen van uw personeel om pogingen tot phishing via e-mail te herkennen en erop te reageren. Aangepaste phishing-, spear-phishing- en Business Email Compromise (BEC)-aanvallen bieden gedetailleerd inzicht in potentiële gevaren.

#7. Testen op cloudpenetratie

Aangepaste beoordelingen van cloudbeveiliging kunnen uw organisatie helpen bij het overwinnen van problemen met gedeelde verantwoordelijkheid door kwetsbaarheden in cloud- en hybride omgevingen te identificeren en aan te pakken die belangrijke bedrijfsmiddelen kunnen blootleggen.

#8. Penetratietesten in een Agile omgeving

Doorlopende, op ontwikkelaars gerichte beveiligingsevaluaties waren gericht op het detecteren en corrigeren van beveiligingsfouten tijdens de ontwikkelingscyclus. Deze flexibele methodologie helpt ervoor te zorgen dat elke productrelease, of het nu gaat om een ​​eenvoudige bugfix of een grote functie, grondig is getest op veiligheid.

Methoden voor penetratietesten

#1. Externe evaluatie

Externe penetratietesten richten zich op de op het internet zichtbare activa van een bedrijf, zoals de webapplicatie zelf, de bedrijfswebsite, e-mail en domeinnaamservers (DNS). Het doel is om toegang te krijgen en nuttige informatie te extraheren.

#2. Interne evaluatie

Bij een interne test bootst een tester die toegang heeft tot een applicatie achter de firewall van het bedrijf een kwaadwillende aanval van binnenuit na. Dit is niet altijd het nabootsen van een afvallige werknemer. Een veelvoorkomend uitgangspunt is een medewerker wiens inloggegevens zijn verkregen als gevolg van een phishingpoging.

#3. Blind testen

Bij een blinde test krijgt een tester alleen de naam van de beoogde organisatie. Dit geeft beveiligingspersoneel een real-time beeld van hoe een daadwerkelijke applicatie-aanval zou kunnen plaatsvinden.

#4. Dubbelblind testen

Beveiligingsmedewerkers in een dubbelblinde test hebben geen voorafgaande informatie over de gesimuleerde aanval. Ze zullen geen tijd hebben om hun vestingwerken te versterken voor een poging tot doorbraak, net als in de echte wereld.

#5. Gericht testen

In dit scenario werken de tester en het beveiligingspersoneel samen en houden ze elkaar op de hoogte van hun bewegingen. Dit is een uitstekende oefening die een beveiligingsteam real-time feedback biedt vanuit het perspectief van een hacker.

Wat is de rol van een penetratietester?

Een penetratietester richt zich, in tegenstelling tot andere informatica-experts, op een specifiek aspect van cyberbeveiliging. Ze helpen bij de bescherming van de digitale informatie van hun bedrijf door systeemfouten te detecteren voordat een aanval plaatsvindt, een proces dat bekend staat als kwetsbaarheidstesten.

Penetratietesters kunnen hun organisaties redden van de financiële en publieke vertrouwensschade die gepaard gaat met aanzienlijke datalekken. Om mogelijke fouten te ontdekken en toekomstige aanvallen te voorkomen, denken deze professionals als gevaarlijke hackers.

Penetratietesters worden vaak ingezet door teams op het gebied van cyberbeveiliging of informatietechnologie (IT). Ervaring met hacktools, codering en scripting, en een uitgebreid begrip van kwetsbaarheden en besturingssystemen zijn allemaal belangrijke mogelijkheden voor penetratietesten.

Penetratietesters profiteren van sterke vaardigheden op het gebied van communicatie, interpersoonlijke relaties en het schrijven van rapporten.

Hoeveel kan een pentester verdienen?

Pentesters kunnen veel geld verdienen. Volgens Payscale is het gemiddelde salaris van een penetratietester in september 2021 $ 87,440. Dit bedrag is veel hoger dan het nationale mediane loon van mei 2020 van de BLS voor alle banen van $ 41,950.

Penetratietesters op instapniveau verdienen minder dan ervaren professionals. Het salaris varieert afhankelijk van de opleiding, waarbij penetratietesters van een hoger niveau vaak meer verdienen. Locatie, branche en vakgebied zijn allemaal factoren die van invloed kunnen zijn op de vergoeding.

Salaris van een Penetratietester op basis van ervaring

Salarisbereiken voor penetratietesters variëren afhankelijk van ervaringsniveau. Penetratietesters met 20 jaar ervaring verdienen gemiddeld $ 124,610 per jaar, wat ongeveer $ 57,000 meer is dan de gemiddelde vergoeding voor beginnende werknemers.

Alleen al het hebben van 1-4 jaar ervaring kan het inkomen van een penetratietester drastisch verhogen, van $ 67,950 voor een instapmodel penetratietester tot $ 81,230 voor een beginnende carrière-expert.

Salaris van een penetratietester op basis van opleiding

Salarissen voor penetratietesters stijgen vaak met het niveau van de opleiding. Als u bijvoorbeeld van een bachelordiploma in informatiebeveiliging naar een masterdiploma gaat, kan het gemiddelde loon met $ 19,000 per jaar stijgen.

Overweeg de voor- en nadelen van extra onderwijs door potentiële betere lonen te evalueren tegen de tijd en het geld die nodig zijn om een ​​ander diploma te behalen. Certificeringen en bootcamps zijn goedkopere mogelijkheden.

Academische programma's voor penetratietesten bieden vaak diploma's in informatica, cyberbeveiliging of informatiebeveiliging. 

Salaris van een penetratietester per locatie

Afgezien van opleiding en ervaring, kan de plaats waar u woont van invloed zijn op uw vergoeding. Het inkomen van een penetratietester kan worden beïnvloed door factoren zoals de vraag naar werk, de kosten van levensonderhoud en de bevolkingsdichtheid. Overweeg beroepen in hogerbetaalde gebieden met statistieken over de kosten van levensonderhoud die lager zijn dan gemiddeld om het verdienpotentieel te optimaliseren.

Hoeveel toegang hebben pentesters?

Testers krijgen verschillende niveaus van informatie over of toegang tot het doelsysteem, afhankelijk van de doelen van de pentest. In bepaalde omstandigheden begint het pentestteam met één strategie en blijft daarbij. Soms ontwikkelt de strategie van het testteam zich naarmate het begrip van het systeem groeit tijdens de pentest. De toegang tot de pentest is verdeeld in drie niveaus.

  • De ondoorzichtige doos. Het team heeft geen kennis van de interne structuur van het doelsysteem. Het gedraagt ​​zich op dezelfde manier als een hacker en zoekt naar externe misbruikbare fouten.
  • Semi-transparante doos. Het personeel is bekend met een of meer legitimatiebewijzen. Het begrijpt ook de kerngegevensstructuren, code en algoritmen van het doel. Pentesters kunnen testgevallen bouwen op basis van uitgebreide ontwerpdocumentatie, zoals architectuurdiagrammen van het doelsysteem.
  • Transparante doos. Pentesters hebben toegang tot systemen en systeemartefacten zoals broncode, binaire bestanden, containers en, in sommige gevallen, de servers waarop het systeem draait. Deze methode levert het hoogste niveau van zekerheid in de kortst mogelijke tijd.

Wat zijn tools voor penetratietesten?

Penetratietesttools worden gebruikt als onderdeel van een penetratietest (pentest) om specifieke processen te automatiseren, de testsnelheid te verbeteren en gebreken aan het licht te brengen die moeilijk te ontdekken zijn met alleen handmatige analytische technieken. Statische analysetools en dynamische analysetools zijn twee soorten penetratietesttools.

Wat zijn de soorten pentesttools?

Er is geen one-size-fits-all tool voor pentesten. In plaats daarvan vereisen verschillende doelen verschillende toolsets voor het scannen van poorten, het scannen van applicaties, wifi-inbraken en directe netwerkpenetratie. Pentesttools worden grofweg in vijf groepen ingedeeld.

  • Verkenningssoftware voor het lokaliseren van netwerkhosts en open poorten
  • Scanners voor kwetsbaarheden in netwerkdiensten, webapplicaties en API's
  • Proxytools zoals gespecialiseerde webproxy's of generieke man-in-the-middle-proxy's zijn beschikbaar.
  • Exploitatietools worden gebruikt om voet aan de grond te krijgen in het systeem of om toegang te krijgen tot bedrijfsmiddelen.
  • Post-exploitatietools voor interactie met systemen, het behouden en vergroten van toegang en het bereiken van aanvalsdoelen

Wat onderscheidt pentesten van geautomatiseerd testen?

Pentesters gebruiken geautomatiseerde scan- en testtools, ondanks het feit dat pentesten grotendeels handmatig is. Ze gaan ook verder dan de tools om meer diepgaande tests uit te voeren dan een kwetsbaarheidsbeoordeling (dwz geautomatiseerd testen) door gebruik te maken van hun kennis van de huidige aanvalsstrategieën.

Handmatige pentesten

Handmatige pentesten identificeren kwetsbaarheden en zwakke punten die niet in populaire lijsten voorkomen (bijvoorbeeld de OWASP Top 10) en evalueert bedrijfslogica die geautomatiseerd testen kan negeren (bijvoorbeeld gegevensvalidatie, integriteitscontroles). Een handmatige pentest kan ook helpen bij het identificeren van fout-positieven die worden verkregen door geautomatiseerd testen. Pentesters kunnen gegevens onderzoeken om hun aanvallen aan te vallen en systemen en websites testen op manieren die geautomatiseerde testoplossingen volgens een vooraf gedefinieerde routine niet kunnen, aangezien het professionals zijn die denken als tegenstanders.

Geautomatiseerde testen

Vergeleken met een volledig handmatige pentestbenadering levert geautomatiseerd testen sneller resultaten op en zijn er minder gekwalificeerde personen nodig. Geautomatiseerde testprogramma's houden automatisch resultaten bij en kunnen deze soms exporteren naar een gecentraliseerd rapportageplatform. Bovendien kunnen de bevindingen van handmatige pentesten van test tot test verschillen, maar het automatisch testen op hetzelfde systeem levert herhaaldelijk dezelfde resultaten op.

Wat zijn de voor- en nadelen van pentesten?

Nu het aantal en de ernst van beveiligingsinbreuken jaar na jaar toeneemt, is er voor ondernemingen nooit meer behoefte geweest aan inzicht in hoe ze aanvallen kunnen weerstaan. Voorschriften zoals PCI DSS en HIPAA hebben periodieke pentests nodig om naleving te garanderen. Met deze beperkingen in het achterhoofd, volgen hieronder enkele voor- en nadelen van dit type defectdetectietechniek.

Voordelen van pentesten

  • Upstream-benaderingen voor beveiligingsborging, zoals geautomatiseerde tools, configuratie- en coderingsstandaarden, architectuuranalyse en andere lichtere kwetsbaarheidsbeoordelingstaken, blijken gebreken te vertonen.
  • Vindt zowel bekende als onbekende softwarefouten en beveiligingskwetsbaarheden, inclusief kleine problemen die op zichzelf niet al te veel zorgen baren, maar wel ernstige schade kunnen aanrichten als onderdeel van een groter aanvalspatroon.
  • Kan elk systeem aanvallen door na te bootsen hoe de meeste vijandige hackers zich zouden gedragen, waarbij een echte vijand zo goed mogelijk wordt nagebootst.

De nadelen van pentesten

  • Is arbeidsintensief en kostbaar
  • Voorkomt niet volledig dat bugs en defecten de productieomgeving binnendringen.

Wat zijn de twee veelgebruikte penetratietesten?

De twee meest voorkomende soorten penetratietesten zijn geautomatiseerd en handmatig. 

Waarom gebruiken we penetratietesten?

Het doel van penetratietesten is om bedrijven te helpen bepalen waar ze het meest kwetsbaar zijn voor aanvallen en om deze kwetsbaarheden proactief aan te pakken voordat hackers er misbruik van maken.

Samenvatten,

Een penetratietest (pentest) is een wettelijk goedgekeurde gesimuleerde aanval op een computersysteem om de veiligheid ervan te beoordelen. Pentesten geven uitgebreide informatie over real-world beveiligingsbedreigingen die kunnen worden misbruikt. Door een penetratietest uit te voeren, kunt u vaststellen welke kwetsbaarheden kritiek zijn, welke klein zijn en welke fout-positieven zijn.

  1. BESTE PRODUCTTEST-WEBSITES EN BEDRIJVEN IN 2023
  2. SPELTESTER: betekenis, banen, salaris en gratis fooien
  3. VIDEO GAME TESTER: Betekenis, Salaris, Hoe word je One & Remote Jobs
  4. MARKTPENETRATIESTRATEGIE: een gids voor marktpenetratie (+gratis tips)

Referenties

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

- Vorig artikel

Wat moet elk klein bedrijf weten over Google Reviews?

Volgend artikel -

RESTAURANTMANAGER: functiebeschrijving van een restaurantmanager en salaris

Dit vind je misschien ook leuk