De digitale wereld verandert continu en razendsnel. Organisaties voegen regelmatig nieuwe applicaties en systemen toe aan hun IT-infrastructuur. Cybercriminelen spelen hierop in, zij zoeken en vinden dagelijks nieuwe kwetsbaarheden in IT systemen. Dit alles maakt het noodzakelijk om regelmatig een pentest uit te laten voeren. In dit artikel gaan we terug naar de basis ter opfrissing waarom.

Wat is een pentest?

Bij een penetratietest, afgekort pentest, probeert een ethische hacker (pentester) in te breken in uw IT-omgeving om te onderzoeken waar uw systemen kwetsbaar zijn voor aanvallen van cybercriminelen. Zo controleren zij onder andere de website, (web)applicaties, koppelingen (API’s), WiFi netwerken, IT-infrastructuur en mobiele apps. Met de bevindingen uit een pentest kunt u verbeteringen doorvoeren om uw beveiligingsniveau te verhogen, risico’s te verkleinen en de bedrijfscontinuïteit te borgen.

Wat zijn de risico’s als u niet regelmatig een pentest laat uitvoeren?

Een cybercrimineel heeft vaak louter financiële motieven om een aanval op een organisatie uit te voeren. Maar wat het motief ook is, als organisatie loopt u bij een hack de volgende risico’s:

  • Het risico op diefstal van bedrijfsgeheimen of andere concurrentiegevoelige informatie.
  • Het risico op een hack met ransomware, waardoor de organisatie voor kortere of langere tijd stil komt te liggen en er vaak een hoog bedrag aan losgeld moet worden betaald om de systemen weer vrij te geven.
  • Het risico op het manipuleren van data, prijzen (bijvoorbeeld bij een webshop) en andere informatie.
  • Het risico dat u niet voldoet aan wet- en regelgeving, zoals de AVG en dat uw certificeringen zoals SO27001 en NEN 7510 in gevaar komen.
  • Het risico op reputatieschade.

Hoe gaat een pentest in zijn werk?

Een pentest vindt altijd plaats in opdracht en met toestemming van de organisatie. Nadat tijdens een intake samen met u het doel, de scope, de methode en het tijdsbestek van de pentest zijn vastgelegd, gaat de ethical hacker aan het werk. Daarbij gebruikt hij verschillende creatieve methoden en aanvalsscenario’s om binnen te dringen in uw systemen. Zo maakt hij gebruik van openbare bronnen, social engineering en verschillende aanvalsmethoden.

Na afloop van de pentest ontvangt u een rapportage. Met deze rapportage krijgt u inzicht in de kwetsbaarheden van uw IT-omgeving en concrete aanbevelingen om uw risico’s te verkleinen. Dit kunnen technische aanbevelingen zijn, maar ook organisatorische aanbevelingen en/of aanbevelingen om uw medewerkers te trainen.

Een pentest à la Hoffmann

Iedere organisatie is anders. Bij Hoffmann geloven we dan ook niet in een beveiligingsblauwdruk. Dat betekent dat een pentest bij Hoffmann ook altijd maatwerk is, waarbij wij samen met u het doel, de scope en de werkwijze van de pentest bepalen. Dat doen we aan de hand van de kroonjuwelen van de organisatie en de risico’s die de organisatie loopt op het moment dat zich een incident voordoet.

Wat ons uniek maakt is dat wij uw infrastructuur testen, zoals een hacker u zou hacken. Wij leveren geen lijst met gevonden kwetsbaarheden, maar nutten deze uit om verder toegang tot uw systemen te krijgen zodat de gevolgen van de kwetsbaarheden ook echt voelbaar gemaakt kunnen worden. Ons principe is train as you fight. Om die reden zijn onze ethical hackers ook actief betrokken bij forensische onderzoeken naar cyberincidenten. Door de deze betrokkenheid weten zij exact welke methoden en technieken cybercriminelen in de praktijk gebruiken. Deze kennis en ervaring kunnen zij inzetten tijdens de pentests. Dit zorgt ervoor dat onze pentests overeenkomen met een daadwerkelijke hack.

Meer informatie?

Bent u naar aanleiding van dit artikel benieuwd naar de kwetsbaarheden van uw organisatie? En wilt u meer informatie over de mogelijkheden voor een pentest? Neem dan gerust contact met ons op. Onze specialisten vertellen u er graag meer over.

088-2986600

info@hoffmann.nl
Nieuws: Defensie (bijna) gehackt door China, hoe zit het met uw organisatie?
Cybersecurity

Defensie (bijna) gehackt door China, hoe zit het met uw organisatie?

Vorige week maakte de MIVD bekend dat het geavanceerde Chinese spionagesoftware heeft aangetroffen op een computersysteem van de Nederlandse krijgsmacht. Het ging om malware waarmee de Chinezen gebruik maakten van een bekende kwetsbaarheid in FortiGate-apparaten van Fortinet. Volgens de MIVD en de AIVD past deze aanval binnen een bredere trend, waarin publiek benaderbare edge devices, zoals firewalls, VPN-servers en e-mailservers worden misbruikt om een organisatie binnen te dringen.

Lees meer
Nieuws: informatiezuil gehackt, uw organisatie plat?
Cybersecurity

Informatiezuil gehackt, uw organisatie plat?

Stel, u heeft een elektronicawinkel. En daar heeft u een aantal laptops, tablets en mobiele telefoons opgesteld staan. Voor klanten, om te testen en uit te proberen. Of u heeft in uw winkel een digitale informatiezuil staan. Daarop kunnen uw klanten bijvoorbeeld opzoeken wat er in andere vestigingen nog op voorraad is. Hoe voorkomt u dan dat via deze apparatuur uw complete netwerk wordt gehackt?

Lees meer
Nieuws - Het is niet de vraag of u slachtoffer wordt van een cyberaanval, maar wannneer
Cybersecurity

Het is niet de vraag óf u het slachtoffer wordt van een cyberaanval, maar wanneer

Op 6 december 2022 werd de stad Antwerpen getroffen door een grote cyberaanval. Hackers drongen de IT-systemen binnen en legden ze plat. De hack heeft tot op de dag van vandaag gevolgen voor het personeel en de inwoners van de stad. Zo werken de systemen van het zwembad, de bibliotheek en de afdeling die vergunningen moet verlenen nog steeds niet naar behoren. Bovendien kost de hack de gemeente minstens 95 miljoen euro, zo werd onlangs bekend. Ook is inmiddels gebleken dat de gemeente meerdere malen gewaarschuwd was voor kwetsbaarheden.

Lees meer

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.