Resources

De pentest & ethisch hacken masterguide

Ethisch hacken en pentesten (penetratietesten): het komt allemaal neer op zwakke plekken opsporen voordat kwaadwillende hackers dat doen. Deze pagina biedt een (bijna) complete masterguide over de pentest. Wat houdt zo’n test allemaal in?

Wat is een pentest?

Wat betekent pentest? Pentest is een afkorting van het woord penetratietest. Het is ook wel een aanvalssimulatie: de beste methode om kwetsbaarheden te identificeren. Dit proces geeft praktisch weer hoe een aanvaller daadwerkelijk fouten in de digitale omgeving kan uitbuiten. Een aanvalssimulatie – ook wel bekend als een pentest – toont concreet aan wat er mis kan gaan.

In het kort: de geschiedenis van de pentest

Ethisch hacken begon in de jaren ’70 en ’80, toen bedrijven en overheden zich bewust werden van de noodzaak om hun digitale systemen te beschermen. Een van de eerste bekende ethische hackers was de Amerikaanse overheid, die in de jaren ’70 het “Red Team” creëerde om de beveiliging van militaire netwerken te testen.

Het doel van een pentest

Pentests zijn gestructureerde en grondige tests waarbij ethische hackers proberen toegang te krijgen tot een systeem door dezelfde technieken te gebruiken als kwaadwillende hackers. Het doel is om de effectiviteit van de beveiligingsmaatregelen van een organisatie te evalueren. Het helpt bij:

Identificeren van kwetsbaarheden: Een pentest helpt organisaties om potentiële zwakheden in hun systemen te identificeren en te verhelpen voordat kwaadwillenden deze kunnen exploiteren.

Naleving van wet- en regelgeving: Veel industrieën zijn onderworpen aan strenge regelgeving op het gebied van gegevensbescherming en cybersecurity. Een pentest helpt organisaties om aan deze regelgeving te voldoen.

Risicovermindering: Door potentiële kwetsbaarheden te identificeren en te verhelpen, kunnen organisaties het risico op datalekken, financiële verliezen en reputatieschade verminderen.

Het proces van een pentest

Een pentest kan een lang of snel proces zijn. Een korte scan, of een uitgebreide aanvalssimulatie op meerdere onderdelen van de digitale infrastructuur van een organisatie. Wekelijks, maandelijks of jaarlijks. Tijdens een pentest doorloopt de ethisch hacker elke keer ongeveer hetzelfde proces:

Fase 1: Planning en scoping (Pre-Engagement Interactions)

In deze fase wordt de reikwijdte van de pentest bepaald. Dit omvat het identificeren van de doelwitten (bijv. netwerken, applicaties) en het vaststellen van de methoden die zullen worden gebruikt. Het is belangrijk om duidelijke doelstellingen en verwachtingen te definiëren om een gestructureerde en effectieve test te waarborgen.

Daarbij komen ook de Black Box Pentest, White Box Pentest en Gray Box Pentest om de hoek kijken. Die zijn drie invalshoeken die mogelijk zijn:

1. Black Box Pentest: De ethisch hacker of tester heeft geen voorkennis van de interne structuren van het systeem. Dit simuleert een externe aanval.

2. White Box Pentest: De ethisch hacker of tester heeft volledige kennis van het systeem, inclusief de broncode en netwerkarchitectuur. Dit simuleert een interne aanval.

3. Gray Box Pentest: De ethisch hacker of tester heeft beperkte kennis van het systeem. Dit simuleert een semi-interne aanval.

Fase 2: Informatie verzamelen (Intelligence Gathering)

Voor een pentest verzamelt een ethisch hacker enorm veel informatie over het doelwit om mogelijke ingangen te identificeren. Dit kan openbaar beschikbare informatie, netwerkscans en andere technieken omvatten. Dit proces van informatie verzamelen heet ook wel “Reconnaissance”.

OSINT (Open Source Intelligence) is een veelgebruikte techniek waarbij informatie uit openbare bronnen zoals sociale media, bedrijfswebsites en forums wordt verzameld. Dit wordt gezien als “Passive Reconnaissance”: dat betekent dat er bij het verkrijgen van de informatie geen contact wordt gemaakt met het doelwitsysteem.

Dan is er nog “Active Reconnaissance”: hierbij maakt de ethisch hacker wel contact met het doelwitsysteem voor het onderzoek voor de pentest. Vaak zoeken ze antwoord op de volgende vragen:

1. Wat is de network range?
2. Hoe ziet het netwerk eruit?
3. Wat zijn de open ports en access points?
4. Wat draait er op de open ports (en OS)?
5. Welke active machines zijn er?

Maar in het geval van een White Box Pentest heeft de ethisch hacker al antwoord op deze vragen.

Fase 3: Organisatie risico’s in kaart brengen (Threat modeling)

Deze fase kijkt alvast vooruit. Nu de pentester een beeld heeft van alle betrokken techniek, is het tijd om de risico’s op organisatieniveau in kaart te brengen. Want: wat voor impact heeft het op de organisatie als – bijvoorbeeld – de webservers niet meer werken? Hoeveel procent van de core business ligt dan plat?

Dat is natuurlijk voor elke organisatie anders. Misschien is het voor organisatie Y alleen een beetje onhandig als de webservers niet meer werken, maar ligt bij organisatie X 90% van de bedrijfsvoering plat.

Theat modeling brengt dus meteen in kaart welke onderdelen het meest belangrijk zijn voor een organisatie. En het helpt om de kwetsbaarheden die de pentester eventueel vindt te klassificeren op hoe kritiek ze zijn.

Fase 4: Analyse van technische kwetsbaarheden (Vulnerability Analysis)

Vervolgens maakt de pentester een analyse van de kwetsbaarheden binnen de techniek. De pentester gaat op zoek naar misconfiguraties en andere vulnerabilities die potentiëel een risico vormen. Het doel is om deze in de volgende fase te gaan misbruiken.

Bij de Vulnerability Analysis kan naar voren komen dat het OS dat de organisatie gebruikt toevallig net deze week kwetsbaar is door een (zero-day) vulnerability waar nog geen patch voor is.

Maar het kan ook zijn omdat er ergens in een code een foutje zit. Bijvoorbeeld bij de zoekbalk van een website: het is de bedoeling dat die alleen luistert naar zoekwoorden zoals “telefoon”. Dat die dan alle telefoons laat zien. Maar wat nou als die ook luistert naar commando’s, bijvoorbeeld “telefoon’ OR 1=1”?

Misschien dat de aanvaller dan gevoelige data als resultaten krijgt. Dat zoekt de pentester in de volgende fase verder uit.

Fase 5: Exploitatiefase (Exploitation)

In deze fase probeert de tester daadwerkelijk toegang te krijgen tot het systeem door bekende kwetsbaarheden te exploiteren. Het doel is te bewijzen wat er mis kan gaan. Dat de kwetsbaarheden er niet alleen theoretisch zijn, maar praktisch.

Dit kan inhouden: het uitvoeren van brute force-aanvallen, SQL-injecties, cross-site scripting (XSS), etc. De tester maakt gebruik van exploit frameworks zoals Metasploit om zwakheden te misbruiken.

Laten we – voor wie nieuwsgierig is – die termen meteen uitleggen, dat geeft meteen een beeld van wat een ethisch hacker allemaal kan:

– Brute force-aanvallen: Een tool probeert automatisch alle mogelijke wachtwoorden totdat het juiste wordt gevonden. Hoe korter het wachtwoord, hoe sneller de tool ‘m kraakt.

– SQL-injecties: Kwaadaardige code wordt toegevoegd aan een normale databasevraag om toegang te krijgen tot gevoelige informatie.

– Cross-site scripting (XSS): Kwaadaardige code wordt op een website geplaatst, waardoor bezoekers onbedoeld informatie kunnen prijsgeven of schadelijke acties kunnen uitvoeren.

Fase 6: Post-Exploitatie (Post-Exploitation)

Na succesvolle exploitatie evalueert de pentester de impact van de toegang en probeert verder toegang te verkrijgen tot gevoelige informatie of kritieke systemen. Dit omvat het escaleren van privileges, het verkennen van interne netwerken en het verzamelen van gevoelige gegevens.

Het kan inhouden dat er pogingen worden gedaan om persistente toegang te verkrijgen, bijvoorbeeld via het installeren van backdoors of andere technieken om later toegang te behouden.

Bovendien onderzoekt de pentester het netwerk om de mogelijke impact van de exploitatie verder te begrijpen, met als doel duidelijk vast te stellen welke systemen kwetsbaar zijn en hoe diep de aanvaller zou kunnen doordringen.

Fase 7: Rapportage (Reporting)

Na de test wordt een gedetailleerd rapport opgesteld dat de bevindingen – inclusief de ontdekte kwetsbaarheden en aanbevelingen voor het verhelpen ervan – beschrijft.

Het rapport moet duidelijk, beknopt en begrijpelijk zijn voor zowel technische als niet-technische stakeholders. Er zit dus ook altijd een managementsamenvatting bij die in een oogopslag weergeeft hoe kritiek de bevindingen van de pentest zijn.

In het pentest rapport staan adviezen voor verbeteringen. Het is aan de klant of die de verbeteringen zelf toe wil passen, of daar een extra paar ogen bij wil hebben. Dus soms helpt een cybersecurity professional mee.

(En dan nog Fase 8: Nacontrole)
Ideaal gezien is een pentest niet eenmalig. Zeker wanneer er in een pentest veel kwetsbaarheden naar voren komen, is het van meerwaarde te testen of alles goed hersteld is.

Verderop op deze pagina geven we antwoord op de vraag hoe vaak een pentest nu echt nodig is.

Soorten pentesten

Die zijn natuurlijk oneindig. Elke pentest is weer net iets anders, omdat bij een pentest doorgaans op maat gewerkt wordt. Maar om een beeld te schetsen geven we hieronder een aantal voorbeelden van soorten pentests. Eén daarvan vindt niet eens digitaal plaats, maar is offline.

1.Netwerk Pentest (Intern of Extern)

Netwerk-pentesten richten zich op het identificeren en exploiteren van kwetsbaarheden binnen netwerkapparatuur en -infrastructuur. Dit kan het scannen van open poorten, het sniffen van netwerkverkeer en het misbruiken van netwerkprotocollen omvatten.

De focus kan liggen op het interne netwerk: wat kan een hacker als ‘ie al binnen is? En het externe netwerk: kan een hacker binnen komen?

Lees hier meer over de netwerk pentest, intern en extern.

2. Webapplicatie & Website pentest

Webapplicatie-pentesten richten zich op het identificeren en exploiteren van kwetsbaarheden in webapplicaties. Zo ook websites. Dit omvat technieken zoals SQL-injectie, cross-site scripting (XSS), cross-site request forgery (CSRF), en kwetsbaarheden in sessiebeheer.

Lees hier meer over de webapplicatie pentest.

3. Fysieke pentest

Bij fysieke pentesten proberen ethisch hackers als mystery guests toegang te krijgen tot fysieke locaties om te zien hoe goed de fysieke beveiligingsmaatregelen zijn. Dit kan het omzeilen van beveiligingssystemen, het gebruiken van lockpicking-tools en tailgating omvatten. Het doel? Dat is vaak fysiek bij serverruimtes of onbeheerde laptops komen.

Lees hier meer over de fysieke pentest.

Hoe vaak is een pentest nodig?

We zeggen altijd: één pentest is beter dan geen pentest. Niet elke organisatie heeft het budget voor maandelijkse pentesten. Maar test wel! En ja: het liefst zo vaak mogelijk. Dat heeft alles te maken met de aard van netwerken en systemen. Die zijn namelijk continu in beweging. Updates en veranderende configuraties maken dat kwetsbaarheden altijd kunnen ontstaan.

Met dat in het achterhoofd is structureel pentesten altijd de meest veilige optie, als dat binnen de mogelijkheden van een organisatie ligt natuurlijk. Lees hier meer hierover.

Keurmerk voor Pentesten

In Nederland hebben we het CCV Keurmerk Pentesten dat aantoont of een cybersecurity organisatie voldoet aan de beste standaarden. Van een organisatie met dit keurmerk mag u kwaliteit verwachten. IP4Sure is in het bezit van het CCV Keurmerk Pentesten. Een van de eisen van het CCV Keurmerk Pentesten is dat de pentesters gecertificeerd zijn. Lees hieronder meer over certificeringen:

Certificeringen voor ethisch hackers

Opzich is het niet nodig dat een hacker álle certificeringen heeft. Dat is bijna onhaalbaar en er is genoeg overlap. Maar hieronder een aantal certificeringen die interessant zijn voor ethische hackers:

– Offensive Security Certified Professional (OSCP): Een praktische certificering gericht op pentesten en exploitontwikkeling.

– CPTS: Richt zich op algemene pentests van netwerken en systemen.

– BSCP: Certificering die zich richt op web pentests.

– Certified Red Team Professional (CRTP): Een certificering gericht op red teaming en aanvalssimulatie.

– eWPT: Specifiek voor webapplicatie pentests.

– CBBH: Gericht op het o.a. vinden van kwetsbaarheden binnen bug bounty-programma’s.

Pentesten & Ethiek

Aan het uitvoeren van een pentest zit ook een stukje ethiek verbonden. Ethisch hacken moet altijd worden uitgevoerd met expliciete toestemming van de eigenaar van het systeem. Ongeautoriseerde penetratietesten kunnen juridische gevolgen hebben. Ethische hackers moeten zich houden aan een strikte gedragscode en professionele standaarden. Ook moeten ze in het bezit zijn van een VOG. Hieronder nog wat meer hierover:

1. Verkrijgen van toestemming

Voor elke pentest moet schriftelijke toestemming worden verkregen van de organisatie die de test aanvraagt. Dit wordt meestal gedaan door middel van een “Rules of Engagement” document dat de reikwijdte, doelstellingen en beperkingen van de test beschrijft.

2. Minimale invasiviteit

Ethische hackers moeten ernaar streven om minimale verstoring te veroorzaken voor de normale bedrijfsvoering. Dit betekent dat testen moeten worden uitgevoerd op tijden die de dagelijkse activiteiten niet verstoren en dat gevoelige gegevens niet worden beschadigd of verloren.

3. Vertrouwelijkheid

Alle informatie die tijdens een pentest wordt verzameld, moet strikt vertrouwelijk worden behandeld. Ethische hackers moeten zich houden aan vertrouwelijkheidsovereenkomsten (NDAs) en ervoor zorgen dat gevoelige gegevens niet in verkeerde handen vallen.

Tot slot: de toekomst van de pentest

Eigenlijk leven we al in de toekomst. Ethisch hackers worden dagelijks omringd door nieuwe ontwikkelingen. Maar goed, we kijken toch even verder in de tijd als het gaat om pentests. Want we vermoeden dat hoe digitaler wij als mens gaan leven, hoe gewoner de pentest gaat worden.

Nu al zien we in sommige sectoren dat een pentest een certificeringseis is. Maar soms ook de eis van een klant! Er zijn praktijkvoorbeelden dat een potentiële klant besluit een webapplicatie niet aan te schaffen omdat er geen recent pentest rapport is. Wie weet hoe dat in de toekomst gaat zijn.

En dan een andere ontwikkeling: AI. Die gaat in de toekomst de ethisch hacker vast nog meer helpen een pentest sneller en secuurder uit te voeren.

En dan nog antwoord op de vraag: hoe kan ik pentesten leren?

Dit vinden we leuk om te delen. Want pentesten is te leren op een cybersecurity opleiding, maar ook in de praktijk! En zelfs met die laatste ervaring is het mogelijk om ethisch hacker te worden, al is het met een diploma natuurlijk net wat makkelijker.

Het is dus mogelijk thuis te oefenen met pentesten. Een goede pentester heeft sowieso veel praktijkervaring nodig. En ja: die ervaring is ethisch op te doen, zonder meteen in dienst te zijn van een cybersecurity bedrijf. Organisaties als Hack the Box maken het namelijk mogelijk in simulatie-omgevingen te oefenen met ethisch hacken! Ook handig in een andere IT-functie. Securityminded werken is overal van belang.

Leuk feitje: de pentesters van IP4Sure gebruiken dit soort websites ook in hun vrije tijd. Geen filmavond, maar een Hack the Box avond.

Een pentest van IP4Sure

Overweegt u een pentest voor uw organisatie? Weet u al wat u ongeveer onderzocht wil hebben, of heeft u liever advies? Neem vrijblijvend contact met ons op voor meer informatie.