Ethical Hacking |
DMC Group hanteert het principe van klein starten en geleidelijk uitbreiden als daar aanleiding toe is. Dit geeft focus aan de opdracht: kort onderzoeken en krachtig doorpakken als er bevindingen zijn door tussentijd te rapporteren en indien nodig - in overleg met de opdrachtgever - gericht vervolg onderzoek in te stellen. DMC Group onderzoekt nooit langer dan noodzakelijk en dat scheelt u tijd en kosten!
Penetratie testen of pentesten zijn er in vele maten en soorten (zie hieronder): |
Penetratie Testen |
Een penetratie test spreekt het meest tot de verbeelding en staat ook wel bekend als Ethical Hack. Een Penetratie test lijkt op een black box beveiligingsonderzoek, maar is toch wezenlijk anders. Bij een Penetratie test gaan wij in de beschikbare tijd op zoek naar een zwakke plek en proberen deze vervolgens uit te buiten om bijvoorbeeld verder te penetreren in een DMZ of LAN. Of er nog andere zwakke plekken zijn, is van secundair belang. Het gaat om zo goed mogelijk aan te tonen waar een bepaald security probleem toe kan leiden. Penetratie testen worden vaak gebruikt om de ernst van security problemen aan te tonen, het bewustzijn te verhogen en budgetten los te krijgen voor een structurele IT-beveiligingsaanpak binnen organisaties. Penetratie testen vallen daadwerkelijk systemen aan. Dit kan door onvoorziene omstandigheden leiden tot verstoringen op het systeem. Daarom maken we vooraf afspraken over of en het tijdstip waarop deze testen uitgevoerd kunnen worden. Idealiter worden deze testen uitgevoerd op een acceptatie-omgeving.
|
Black-Box |
Bij een black-box beveiligingsonderzoek beschikken wij over minimale informatie over de te testen doelen. In een gegeven hoeveelheid tijd —time-box— brengen wij zoveel mogelijk zwakke plekken in kaart in (web)applicaties en/of IT-infrastructuren.
|
Grey-Box |
Bij een Grey-box beveiligingsonderzoek beschikken onze consultants over test credentials, zoals bijvoorbeeld gebruikersnamen en wachtwoorden. Zo kunnen wij onderzoeken of bijvoorbeeld correcte autorisatie binnen applicaties gewaarborgd is. Kan gebruiker A bijvoorbeeld niet de data van gebruiker B benaderen? Ook kunnen wij met de Grey-box methodiek een intern netwerk onderzoeken. Wat kan een gemiddelde gebruiker in een bedrijfsnetwerk wat eigenlijk niet zou moeten kunnen of mogen?
|
Crystal-Box |
Bij een Crystal-box beveiligingsonderzoek beschikt DMC Group over alle mogelijk informatie, zoals functionele, technische en architectonische ontwerpen. In het geval van applicaties kunnen wij zelfs de beschikking hebben over de broncode die wij aan een inspectie onderwerpen. Bij onderzoeken van IT-infrastructuren onderzoeken wij nauwgezet de hardening van servers, de inrichting van firewalls en de instellingen van devices.
|
Kwetsbaarheidsscan |
De te onderzoeken omgevingen zijn vaak productief ingezet en het is niet altijd wenselijk om de beschikbaarheid te beïnvloeden door een onderzoek. In deze situaties wordt gebruik gemaakt van een kwetsbaarheid scan: de te testen objecten worden gescand op kwetsbaarheden, maar een potentiële kwetsbaarheid wordt niet opgevolgd door een daadwerkelijke (meer agressieve) penetratie poging. Hoewel waardevol leveren deze onderzoeken in eerste instantie veel “false positives” op die gezamenlijk met Grey-Box of Cristal-Box kennis van de omgeving gevalideerd moeten worden.
|
Geautomatiseerd Scannen |
Er zijn tools beschikbaar die geautomatiseerd kwetsbaarheidsscans en/of penetratietesten kunnen uitvoeren. Hierbij kan wel of niet gebruik gemaakt worden van voorkennis (Grey-, Cristal-box). De kwaliteit en prijs van deze tools varieert enorm en de inzetbaarheid hangt af van de omvang van de organisatie en de financiële middelen. Wij gebruiken standaard geautoma-tiseerde scan tools als eerste stap in de kwetsbaarheidsanalyse. We beschikken zelf over enkele open source en gelicenceerde toolkits. Ook maken we bij voorkeur gebruik van voorzieningen die een organisatie zelf al in beheer heeft. In overleg kunnen we specifieke tooling aanschaffen en inzetten (eenmalig of periodiek/continu).
|
Handmatig Scannen |
Op basis van een veelheid aan verkregen informatie, kan de “echte” Ethical Hacker aan de slag door specifieke aanvalsscenario’s te ontwikkelen rond de infrastructuur van de opdrachtgever. Dergelijke scenario’s bestaan uit een combinatie van technische en/of sociale methodes en kan deels gezien worden als een “creatief” proces van de onderzoeker. Voor dit soort testen maken we regelmatig gebruik van bevriende “helpende hackers” die uiteraard op basis van strikte vertrouwelijkheid hun bijdrage leveren.
|
Binnenkant & Buitenkant |
Er was een tijd dat gedacht werd dat alle aanvallen van buiten komen: vanaf het Internet; en dat een goede firewall de dreigingen buiten zou houden. Inmiddels is duidelijk dat de veiligheid van de interne ICT-voorzieningen (eigen of Cloud / SaaS) een belangrijke springplank is voor aanvalsscenario’s (door zowel interne - als externe aanvallers). Om deze reden zullen we altijd aanraden de kroonjuwelen intern net zo goed te beschermen als extern. Bij onze standaard aanpak gaan we uit van een buitenkant scan (vanaf het internet). Interne scans vereisen veelal een maatwerk aanpak die afhankelijk is van de ICT-architectuur.
|
|
Copyright DMC Group 2020
|
Maastricht & Den Haag
|