Pentest (penetratietest) voor bedrijven; kosten en baten

avatar
Author:
Published:

Pentesten, oftewel penetratietesten, zijn belangrijke testen wanneer u nieuwe software in wilt zetten. U wilt immers wel van tevoren weten of de webapplicatie, website, mobiele applicaties en koppelingen veilig zijn. Zwakheden in de beveiliging van online software en programma’s kunnen zorgen voor enorme schade. Denk hierbij aan verlies van data, financiële kosten en het verlies van klanten.

Een pentest uit laten voeren is een bijzonder geschikte oplossing. Ethische hackers gaan aan de slag met het ‘penetreren’ door een aanval op te zetten of te simuleren. Hierna weet u exact waar de problemen liggen en wat er gedaan moet worden om de online applicaties, websites en andere programma’s te perfectioneren met het oog op de veiligheid.

Verschillende soorten en de penetratietest kosten

Er zijn verschillende soorten penetratietesten, met uiteenlopende kosten. Doorgaans wordt het onderscheid gemaakt tussen een Black Box, een Grey Box en een White Box pentest. Wat is het verschil precies?

Weet u niet welke pentest het beste bij u past? Dan neemt u gewoon contact met ons op. Tijdens een vrijblijvend intakegesprek kijken we naar de eisen en doelstelling, waarbij we advies uitbrengen en u adviseren over de penetratietest kosten voor uw bedrijf.

Altijd volgens internationale standaarden

Onze ethische hackers werken altijd volgens de internationale standaarden en zorgen ervoor dat alle handelingen en gebruikte software van hoge kwaliteit zijn. Alleen op die manier kunnen we garanderen dat onze pentesten voor bedrijven op de goede manier uitgevoerd worden en de resultaten tonen waar u iets aan heeft. Is dat alles? Nee, want wij hebben ook nog eens bijzonder creatieve hackers, zodat de aanvallen ook daadwerkelijk op alle mogelijke manieren uitgevoerd worden. Op die manier vinden wij vaak zwakheden die anderen niet kunnen vinden.

Rapportage na de penetratietesten

U heeft er vrij weinig aan wanneer wij alle zwakheden vinden in uw software en hier vervolgens niets mee doen. Daarom is onze focus gericht op het verstrekken van duidelijke en complete rapporten na het uitvoeren van de pentesten. We geven niet alleen aan hoe we gewerkt hebben en wat we gevonden hebben, we brengen in het rapport ook direct advies uit over hoe de kwetsbaarheden opgelost kunnen worden.

In het rapport ziet u de kwetsbaarheden in een duidelijk overzicht. Bij de kwetsbaarheden staat een nummer aangegeven, dat aangeeft hoe ernstig de kwetsbaarheid is. Op die manier kunt u zelf eenvoudig zien welke problemen eerst opgelost moeten worden en welke minder haast hebben.

Bent u regelmatig aan het werk met updates en aanpassingen? Neem dan eens contact met ons op over de mogelijkheid om periodieke penetratietesten uit te laten voeren; op die manier kunt u de penetratietest kosten verlagen voor uw bedrijf.

Waarom is een pentest voor uw bedrijf een goede keuze?

Het uit laten voeren van een penetratietest geeft een duidelijk beeld van de zwakheden in de software, website en applicaties. Niet alleen is dit belangrijk voor de veiligheid in uw bedrijf en digitale omgeving; het is minstens zo belangrijk voor uw klanten en de continuïteit. Kunt u het zich veroorloven dat de volledige digitale omgeving langere tijd niet beschikbaar is na een aanval van hackers?

Onze creatieve, vindingrijke en gedreven ethische hackers gaan graag aan de slag met het uitvoeren van penetratietesten voor uw bedrijf. Op die manier weet u precies waar nog aan gewerkt moet worden. Dankzij onze rapporten is dit overigens veel makkelijker dan u denkt; zowel de mogelijke oplossingen als urgentiebepaling wordt u aangereikt.

Wilt u meer weten over onze werkwijze of wilt u direct een intakegesprek boeken om een pentest uit te laten voeren? Neem dan vandaag nog contact met ons op.

Veelgestelde vragen

Wat is een pentest?

Pentest is een afkorting van ‘penetration testing’. Bij een pentest kruipen pentesters in de huid van een hacker. Ze proberen op allerlei manieren en met alle mogelijke middelen toegang te krijgen tot de geteste IT-omgeving. Op die manier leggen ze de zwakke plekken van je website, applicatie of zelfs gehele IT-infrastructuur bloot. Na afloop van een pentest kun je met gerichte maatregelen deze kwetsbaarheden zo goed mogelijk verhelpen.

Wanneer is een pentest nuttig?

Pentesten leveren inzichten op waarmee een organisatie de security kan versterken. Dat kan in allerlei gevallen nuttig zijn. Zo kan een pentest de zwakheden van een server of website in kaart brengen. In andere gevallen kan het ook waardevol zijn om het algehele securityniveau van de organisatie in kaart te brengen.

Hoe lang duurt een pentest?

De duur van een pentest is geheel afhankelijk van het beoogde doel, de gekozen methode en het beschikbare budget. Sommige pentests zijn heel specifiek gericht op een bepaalde website of applicatie. Andere pentests zijn breder gericht, vaak zelfs op de gehele IT-infrastructuur. Afhankelijk van de grootte en complexiteit daarvan kan een pentest weken of zelfs maanden in beslag nemen.

Wat is het verschil tussen een pentest en een vulnerabilityscan?

Een vulnerabilityscan controleert IT-systemen op zwakheden via een geautomatiseerde process. Daardoor beperkt een vulnerabilityscan zich tot bekende beveiligingsfouten. Een vulnerabilityscan heeft in veel gevallen niet de intelligentie om kwetsbaarheden te ontdekken die van deze bekende patronen afwijken.

Een pentest gaat veel verder. Pentesters zoeken handmatig en geautomatiseerd op een zo breed mogelijke manier naar zwakheden in de IT-omgeving, afhankelijk van beschikbare tijd, budget en scope van de opdracht. Ze gebruiken daarbij creatieve aanvalstechnieken, methoden en tooling zoals een vulnerabilityscan.

Welke verschillende testmethoden zijn toepasbaar bij een pentest?

Er zijn grofweg drie testmethoden te onderscheiden. Er is geen ‘beste’ methode, iedere variant heeft zijn eigen specifieke voor- en nadelen. De keuze hangt dus geheel af van de omstandigheden.

1. Black box
Bij een black box-pentest krijgt de ethical hacker vooraf geen enkele informatie over de IT-infrastructuur. Wél wordt in veel gevallen een scope afgesproken om een volledig onderzoek te garanderen. De pentester simuleert hierbij als het ware de mindset van een opportunistische, niet-geïnformeerde hacker. Omdat de pentester geen voorinformatie heeft naast de scope, maar wel gelimiteerd is door tijd en budget, is deze testvariant doorgaans de minst grondige. Black box-testing is nuttig wanneer je bijvoorbeeld voor de eerste keer een test uitvoert en een algemeen beeld wilt krijgen van het beveiligingsniveau.

2. Gray Box
Een grey-box-test houdt het midden tussen een black box- en een white box-test. De pentesters krijgen hierbij van tevoren beperkte informatie over de IT-infrastructuur, zoals een klant-/medewerkersaccount.

Grey-box-testen zijn doorgaans minder grondig dan white-box-testen, maar hebben wel een realistisch uitgangspunt. De pentesters beschikken hiermee over ongeveer evenveel voorkennis als bijvoorbeeld een rancuneuze klant/medewerker of een goed geïnformeerde hacker. Grey-box-onderzoeken worden bijvoorbeeld vaak toegepast om te kijken hoe veilig een omgeving is vanuit een klant- of medewerkersperspectief.

3. White Box (ook wel: Crystal box)
Pentesters krijgen met een white box-pentest vooraf volledige openheid van zaken. Daardoor kunnen zij de pentest zeer grondig uitvoeren. Het nadeel van deze methode is dat het veel tijd kost, omdat de gehele scope tot in detail onderzocht wordt. Deze methode wordt veelal toegepast op een beperkte scope, bijvoorbeeld een applicatie die zeer belangrijk (bedrijfskritisch) is voor de klant.

Mijn organisatie beschikt over vertrouwelijke data. Zijn die in goede handen bij een pentester?

Een security bedrijf met goede bedoelingen zal altijd van tevoren een NDA (Non Disclosure Agreement) tekenen. Dat is een geheimhoudingsverklaring. Aangetroffen data zijn dan in veilige handen, vaak op straffe van een fikse boete.

Hoe onderscheidt een pentest van WebSec zich van de concurrentie?

Een belangrijke onderscheidende factor is de manier waarop wij klanten begeleiden. Goed overleg loopt als een rode draad door het gehele traject. We bepalen vooraf duidelijk de scope, de aanpak en de doelstellingen van de pentest. Zo maximaliseren we de effectiviteit van de test.

Na afloop overleggen en presenteren we alle bevindingen. We geven een duidelijke rapport richting voor de management, en bespreken een technische rapport met de IT afdeling en/of programmeurs.

Contact

WebSec Address