Ben ik gehackt? Het is tegenwoordig niet meer de vraag of uw organisatie wordt gehackt maar de vraag is wanneer uw organisatie wordt gehackt. Het kan zelfs zijn dat u al gehackt bent, zonder dat u dit doorheeft. Hoe groot of klein uw bedrijf ook is, cybercriminelen zoeken dagelijks naar nieuwe manieren om organisaties zoals de uwe, binnen te dringen. Hackers worden hierin steeds creatiever. De pentesters van Hoffmann gelukkig ook. Laat u niet verrassen en laat regelmatig uw IT-infrastructuur controleren door de Hackers van Hoffmann. Zo maakt u uw IT-infrastructuur weerbaar en bent u voorbereid op onbekende dreigingen.
Neem vrijblijvend contact op met onze pentest specialisten
Contactform 088-2986600 info@hoffmann.nl
Conversations with our specialists are always confidential due to our professional secrecy.
Gemiddeld duurt het 16 dagen voordat een bedrijf een hack ontdekt ook wel bekend als ‘Cyber-Attack Dwell Time’. Er zijn incidenten bekend waarbij de hack pas na meerdere weken of zelfs maanden ontdekt werd.
In 82% van de gevallen gebeurt
de hack zelfs binnen één minuut
In vrijwel 100% van de gevallen wordt
achteraf duidelijk hoe het incident
voorkomen had kunnen worden
''We zien al geruime tijd dat cybercriminaliteit alsmaar toeneemt en weten dat dit de komende jaren niet zal veranderen. Toch denken veel organisaties geen interessant doelwit te zijn voor cybercriminelen. Helaas onterecht.”
Periodieke pentesten
Een penetratietest (pentest) laat zien of uw organisatie voldoende weerbaar is tegen digitale aanvallen. Het geeft inzicht in de kwetsbaarheden van uw IT-infrastructuur en de mogelijke gevolgen hiervan. Het is van belang dat u regelmatig de veiligheid en weerbaarheid test. Zeker als u nieuwe systemen aan uw infrastructuur toevoegt, maar ook omdat er dagelijks nieuwe kwetsbaarheden
worden ontdekt in al gebruikte hard- en software. Ook voor de hard- en software die u in gebruik heeft!
CCV, ISO27001 en NEN7510
Hoffmann beschikt over het CCV keurmerk. Pentesten worden dan ook volgens de voorwaarden en eisen van het CCV keurmerk uitgevoerd. Het CCV keurmerk geeft zekerheid en garanties over de kwaliteit van de uitgevoerde pentests.
Bent u bezig met het verkrijgen van een ISO27001 certificering of de NEN 7510 (zorgsector)? Hoffmann kan door middel van een penetratietest onderzoeken of de technische beveiliging van uw IT systemen afdoende is.
Onze aanpak: zichtbare impact via een pentest
De creatieve pentesters van Hoffmann gaan een stap verder dan de gemiddelde pentester. Zij werken geen standaard checklist af, maar gebruiken hun creativiteit en vindingrijkheid om écht binnen te dringen. Vervolgens laten ze concreet zien waartoe een hacker in staat is.
- Ze zijn Offensive Security Certified Professional (OSCP) gecertificeerde pentesters.
- De pentesten van Hoffmann worden altijd uitgevoerd met een vrijwaring en de reikwijdte van het onderzoek bepalen we samen met u.
- Uw huidige beveiligingsniveau wordt in kaart gebracht zodat u uw IT-beveiliging preventief kunt verbeteren.
Heldere rapportage & advies
In de rapportage van de pentest staat beschreven welke belangrijke digitale toegangsdeuren zijn getest, op welke wijze dit is gebeurd en welke tools hiervoor zijn gebruikt. De bevindingen van het pentesting worden ingedeeld volgens een beoordelingssysteem dat gaat van laag, gemiddeld, hoog tot kritiek. Dit wordt gedaan met behulp van de Common Vulnerability Scoring System (CVSS) methodiek of het middels de NCSC-NL matrix (de Nederlandse tegenhanger van CVSS). Hiermee beoordelen en prioriteren we de kwetsbaarheden in een uitgebreid advies op maat.
Meer weten over een mogelijke pentest?
Meer weten over de mogelijkheden van pentesten voor uw organisatie?
Onze specialisten wisselen hierover graag met u van gedachten.
Of neem rechtstreeks contact op met één van onze consultants.
Hoe gaat een pentest in zijn werk?
Veel organisaties vinden het lastig hun kernvraag te formuleren. Daarom proberen onze consultants dit concreet te maken tijdens de uitgebreide intake vooraf. Naast de risico’s die voor iedere organisatie gelden, brengen we de kernbelangen en bijbehorende risico’s van uw organisatie in kaart. Op basis van de input uit het intakegesprek bepalen we samen met u welke belangrijke toegangsdeuren worden getest om toegang te krijgen tot bedrijfsgevoelige data, en op welke wijze.
Daarnaast is het van belang dat u een beeld heeft of op basis van onze input, krijgt van de systemen die getest dienen te worden. Dit noemen we de scopebepaling. Deze informatie kunt u uiteraard zelf aandragen, maar het is ook mogelijk dat wij door middel van een open bronnenonderzoek (Open Source Intelligence / OSINT) achterhalen hoe de digitale voetafdruk van uw organisatie er uitziet en welke systemen er zijn.
Bedrijfsnetwerk (de interne en externe infrastructuur)
Cybercriminelen doen er alles aan om uw interne netwerk binnen te dringen van buitenaf. Maar ook van binnenuit kunnen (kwaadwillende)medewerkers en gasten belangrijke bedrijfsdata blootleggen.
Welke mogelijkheden heeft een hacker wanneer deze de eerste verdedigingslinies toch heeft weten te omzeilen en er toegang is verkregen tot bijvoorbeeld een interne werkplek? Is uw netwerk hier adequaat tegen beschermd en bijvoorbeeld voorzien van segmentatie?
Bij een een pentest denkt u wellicht al snel dat deze geheel op afstand wordt uitgevoerd. Niets in minder waar. Hoffmann adviseert om niet alleen van buitenaf (internet) naar uw infrastructuur te kijken, maar ook vanuit uw eigen kantoor of vanuit de directe omgeving van uw bedrijfspand. Criminelen kunnen op relatief eenvoudige wijze het WiFi-signaal opvangen en zo op afstand proberen uw netwerk binnen te dringen. Een pentest onderzoek van Hoffmann bij u op locatie (intern) geeft u hier inzicht in de risico’s die u nu mogelijk loopt.
(Web)applicaties
(Web)applicaties en services die zijn gekoppeld aan het internet vormen voor criminelen belangrijke toegangsdeuren naar gevoelige data. Technische kwetsbaarheden kunnen mogelijk zelfs leiden tot toegang tot het interne bedrijfsnetwerk.
Mobiel & IoT
Mobiele Apps en Internet of Things (IoT) devices staan altijd in verbinding met andere (web)services en API’s. De gevoelige gegevens die via deze route worden verwerkt, kunnen door cybercriminelen via het netwerk worden onderschept.
Soorten pentesten
Samen met u bepalen we per systeem, applicatie of netwerk met hoeveel voorkennis de pentester aan de slag gaat (blackbox, greybox of whitebox). Dit gebeurt binnen een vooraf afgesproken tijdsbestek (Timebox). Uiteraard kan een pentest ook bestaan uit een combinatie van een blackbox, greybox of whitebox aanpak. In de volgende paragrafen worden de verschillen tussen deze methodes uitgelegd.
Blackbox test
Onze onderzoekers starten de pentesting door uw systemen aan te vallen zonder enige voorkennis. Door middel van open bronnenonderzoek (Open Source Intelligence) zullen zij uw organisatie verder in kaart brengen en nagaan welke informatie er (openbaar) te achterhalen is. Denk hierbij aan e-mailadressen, achterhaalde wachtwoorden of zelfs (interne) documenten.
Deze werkwijze benadert de aanval zoals een cybercrimineel dit ook zou doen. Een blackbox pentest is daardoor de meest gekozen pentest.
Greybox test
Onze onderzoekers krijgen een beperkte toegang tot de systemen van waaruit wij verder de kwetsbaarheden onderzoeken. Dit scenario komt overeen met een hacker de reeds toegang heeft tot uw systemen. Denk aan malware of een geslaagde phishing-actie. In dit reële scenario wordt bijvoorbeeld een medewerker (onbedoeld) betrokken bij een cyberaanval.
Whitebox test
Vooraf wordt alle informatie verstrekt om gericht en op een efficiënte wijze op zoek te gaan naar kwetsbaarheden. Hierbij bestuderen we ontwerpen, broncode, documentatie en andere beschikbare informatie om u te adviseren over een betere beveiliging.
Combinatie
Uiteraard is een combinatie van de verschillende soorten pentesten mogelijk. Ons advies is veelal dan ook om een pentest aan te vangen als backbox pentest om vervolgens over te gaan op een greybox pentest. Dit kan met aangeleverde informatie of met de informatie die onze onderzoeker zelf heeft achterhaald vanuit de blackbox test.
Hacken à la carte met ART
ART staat voor Advance Red Teaming en is ontwikkeld door De Nederlandsche Bank. Als methodiek is ART niet alleen relevant voor financiële instellingen, ook voor vitale sectoren, zoals de zorg, telecom en energiesector is ART goed te gebruiken. Uiteindelijk kan iedere organisatie doelwit worden van een cyberaanval en met ART is het in aanvulling op de reguliere pentesten mogelijk om vast te stellen hoe effectief een organisatie zich tegen een cyberaanval kan wapenen.
Waar een reguliere pentest uit een aantal dagen bestaat, duurt ART minimaal acht weken. Op basis van technieken die criminelen gebruiken, gaan de hackers van Hoffmann met één of meerdere aanvalsscenario’s over een langere periode proberen de digitale deur van uw organisatie te openen. Hierbij zijn een zeer beperkt aantal personen van de organisatie bekend met de testaanval. Dit wordt bewust gedaan omdat op deze het beste getest kan worden hoe medewerkers in de praktijk reageren op een aanval.
ART start met de fase van threath intelligence. In deze fase worden dreigingsscenario’s vastgesteld die de basis voor de uitvoering van de red teaming fase. Het benodigde tijdsbestek, reikwijdte en diepgang van het onderzoek is afhankelijk van het aantal geselecteerde scenario’s. Aansluitend worden in de fase van red teaming de dreigingsscenario’s vertaald naar een praktisch plan dat is opgebouwd volgens het MITRE ATT&CK-raamwerk. Na afstemming en goedkeuring gaan de hacker van Hoffman daadwerkelijk aan de slag. In een eendaagse purple teamoefening vindt een review plaats van de uitgevoerde aanvallen. Ook is aandacht voor het vaststellen van manieren om de verdediging in de toekomst te verbeteren. Ter afronding kan bij organisatie door middel van Gold teaming een crisismanagement oefening plaatsvinden met specifieke aandacht voor het oefenen op basis van een gesimuleerde cyberaanval.
Wilt u meer weten of ART? Neem contact op met ons deskundig team voor een nadere toelichting.
CCV keurmerk
Hoffmann beschikt over het CVV keurmerk voor pentesten. Hierdoor kunt u ervan uitgaan dat de pentest gegarandeerd volgens de juiste maatstaven wordt uitgevoerd. De penetratietesten worden bovendien uitgevoerd volgens internationale standaarden.
- Penetration Testing Execution Standard (PTES)
- Open Source Security Testing Methodology Manual (OSSTMM) voor de IT-infrastructuur
- Mobile Security Testing Guide (MSTG) voor mobiele applicaties
Contactformulier Pentesten