Penetratie testen, ook wel pen test genoemd, zijn een beveiligingsoefening waarbij een security awarness training kwetsbaarheden in een computersysteem probeert te vinden en uit te buiten. Het doel van deze gesimuleerde aanval is eventuele zwakke plekken in de verdediging van een systeem op te sporen waarvan aanvallers zouden kunnen profiteren.
Bij penetratie testen kan worden geprobeerd in te breken in een aantal toepassingssystemen, bijvoorbeeld API’s of frontend-/backend-servers, om kwetsbaarheden aan het licht te brengen, zoals inputs die vatbaar zijn voor code-injectieaanvallen.
Verschillende soorten penetratie testen
Externe penetratie test – Bij een externe test neemt de ethische hacker het op tegen de extern gerichte technologie van het bedrijf, zoals hun website en externe netwerkservers. In sommige gevallen mag de hacker niet eens het gebouw van het bedrijf betreden. Dit kan betekenen dat de aanval wordt uitgevoerd vanaf een externe locatie of dat de test wordt uitgevoerd vanuit een nabij geparkeerde vrachtwagen of bestelwagen.
Interne pen test – Bij een interne test voert de ethische hacker de test uit vanaf het interne netwerk van het bedrijf. Dit soort test is nuttig om te bepalen hoeveel schade een ontevreden werknemer kan aanrichten van achter de firewall van het bedrijf.
Open-box penetratie test – Bij een open-box test krijgt de hacker vooraf enige informatie over de beveiligingsinformatie van het doelbedrijf.
Closed-box penetratie test – Ook bekend als een ‘single-blind’ test, dit is een test waarbij de hacker geen achtergrondinformatie krijgt behalve de naam van het doelbedrijf.
Covert penetratie test – Ook bekend als een ‘dubbelblinde’ penetratie test, dit is een situatie waarbij bijna niemand in het bedrijf weet dat de penetratie test plaatsvindt, inclusief de IT- en beveiligingsprofessionals die op de aanval zullen reageren. Voor geheime tests is het vooral belangrijk dat de hacker de omvang en andere details van de test van tevoren schriftelijk vastlegt om problemen met rechtshandhaving te voorkomen.
Gerichte penetratie testen – In dit scenario werken zowel de tester als het beveiligingspersoneel samen en houden ze elkaar op de hoogte van hun bewegingen. Dit is een waardevolle trainingsoefening die een beveiligingsteam real-time feedback geeft vanuit het oogpunt van een hacker.
Wat gebeurt er na afloop van een penetratie test?
Na afloop van een penetratie test deelt de ethische hacker zijn bevindingen met het beveiligingsteam van het doelbedrijf. Deze informatie kan vervolgens worden gebruikt om beveiligingsupgrades uit te voeren om de tijdens de test ontdekte kwetsbaarheden te verhelpen.
