Onze OSCP-gecertificeerde beveiligingsonderzoekers identificeren en beoordelen kwetsbaarheden in uw systemen middels open standaarden en methodologieën zoals de PTES, OWASP en CVSS en MIAUW zodat uw systemen (nog) veiliger worden

Pentesting middels open-source standaarden

Infrastructuur pentesten
Webapplicatie pentesten
Mobiele applicatie pentesten
API pentesten
OT Pentesten
Download hand-out over pentesting
Ontdek meer over pentesten
Boek nu uw adviesgesprek

Pentesting volgens de Methodiek voor Informatiebeveiligingsonderzoek met Audit Waarde (MIAUW)

MIAUW is een open-source framework dat een gestructureerde aanpak biedt voor informatiebeveiligingsonderzoek en pentesten. Het framework richt zich op transparantie, reproduceerbaarheid en hoge kwaliteit van resultaten. Anovum is een actieve bijdrager aan MIAUW en past deze methodologie toe in zijn pentesten. Dit maakt het mogelijk om organisaties op een effectieve en betrouwbare manier te ondersteunen bij het identificeren en mitigeren van risico’s.

Meer lezen over MIAUW
Black Box pentest

Een Black Box onderzoek lijkt sterk op een echte aanval, vergelijkbaar met hoe hackers in de praktijk te werk gaan. Bij een Black Box pentest ontvangt ons team van tevoren geen enkele informatie (behalve wettelijk vereist) van de opdrachtgever. Onze specialisten zullen uw omgeving in kaart brengen door middel van open bronnenonderzoek (OSINT) en andere technieken. Op deze manier kunnen zij gericht zoeken naar potentiële kwetsbaarheden.

Grey Box pentest

Bij een Grey Box pentest onderzoeken onze specialisten kwetsbaarheden in uw (web)applicatie, website, IT-infrastructuur, API-koppelingen en mobiele apps, zowel met als zonder vooraf verstrekte informatie. Door deze combinatie van aanvalsscenario's ontstaat een zo volledig mogelijk beeld van de technische weerbaarheid van uw digitale omgeving. Bij een Grey Box pentest maken onze specialisten gebruik van een gebruikersaccount en wordt er gevraagd om een duidelijk gedefinieerde scope, een matrix van rollen en rechten, en een lijst van functionaliteiten.

White Box pentest

Een White Box pentest, ook bekend als een Crystal Box pentest, houdt in dat alle relevante informatie vooraf wordt verstrekt om doelgericht naar kwetsbaarheden te zoeken. Dit omvat dezelfde gegevens die bij een Grey Box pentest worden opgevraagd, zoals een gedefinieerde scope, rollen- en rechtenmatrix, en een lijst van functionaliteiten. Daarnaast krijgen onze specialisten toegang tot de broncode, logbestanden en de servers. Ook kan er gebruik worden gemaakt van een eigen testomgeving, waardoor de test grondiger en efficiënter kan worden uitgevoerd.

Waarom zijn pentesten essentieel voor uw organisatie?

Verschillende normeringen en wetgevingen vereisen dat u passende maatregelen treft om uw informatiebeveiliging zo effectief en efficiënt mogelijk te organiseren. Voorbeelden van deze richtlijnen zijn ENSIA, BIO, ISO, en de AVG. ENSIA wordt specifiek toegepast door gemeenten, provincies, waterschappen en bepaalde onderdelen van de rijksoverheid om verantwoording af te leggen over hun informatiebeveiliging. De ISO-normen en de AVG-wetgeving gelden breder en vormen de basis voor zowel publieke als private sectoren. Naast de genoemde standaarden, verwachten alle betrokken partijen binnen uw organisatie, van klanten tot aandeelhouders, dat u betrouwbaar bent en zorgvuldig omgaat met informatie. Een pentest is cruciaal om die zekerheid te bieden.

Plan vandaag nog een intakegesprek met onze experts om de scope van uw pentest vast te stellen.

Vandaag al een intake plannen voor een pentest?

Plan een afspraak met een expert
Leer hoe ons eenvoudige proces werkt

In vier stappen naar een pentest

  • 1
    Intake en voorstel

    Tijdens de intake bespreekt Anovum samen met een van onze specialisten de scope en mogelijke aanvalsscenario’s voor de pentest. Deze intake is een essentieel startpunt, zodat we binnen de vastgestelde scope alle relevante onderdelen kunnen onderzoeken en mogelijke kwetsbaarheden kunnen identificeren. Op basis van dit gesprek maken we een inschatting van de benodigde uren en stellen we een passend voorstel op.

  • 2
    Realisatie

    Tijdens de pentest houdt Anovum u continu op de hoogte van de voortgang en de geïdentificeerde kwetsbaarheden. We maken gebruik van uitgebreide open source standaarden, afgestemd op de vastgestelde scope van de test, om de meest effectieve en grondige analyse uit te voeren. Bij het ontdekken van kritieke kwetsbaarheden brengen we u direct op de hoogte, zodat deze onmiddellijk kunnen worden aangepakt en verholpen.

  • 3
    Rapportage

    Alle geïdentificeerde kwetsbaarheden worden nauwkeurig vastgelegd in een overzichtelijke en uitgebreide pentest-rapportage.
    Bij Anovum maken we gebruik van uitgebreide open source standaarden voor de uitvoering van de test, gebaseerd op de vooraf bepaalde scope, en deze standaarden worden volledig gedocumenteerd in de rapportage.

  • 4
    Nabespreking en hertest

    Na de oplevering van de rapportage volgt een uitgebreide nabespreking van de bevindingen.
    Tijdens deze sessie nemen we de tijd om alle gedocumenteerde kwetsbaarheden en hun impact in detail met u door te nemen. Indien er kritieke of belangrijke kwetsbaarheden zijn verholpen, bieden wij de mogelijkheid om een uitgebreide hertest uit te voeren.

Wat betekenen de OWASP WSTG en OWASP MASTG?

OWASP WSTG
  • De Web Security Testing Guide (WSTG) is het toonaangevende hulpmiddel voor het testen van de beveiliging van webapplicaties, ontwikkeld voor zowel webontwikkelaars als beveiligingsprofessionals. Deze uitgebreide gids biedt een gedetailleerde handleiding voor het uitvoeren van beveiligingstests op webapplicaties en webservices. Het WSTG-project is tot stand gekomen dankzij de gezamenlijke inspanningen van cybersecurity-experts en toegewijde vrijwilligers, en vormt een raamwerk van best practices dat wereldwijd door penetratietesters en organisaties wordt toegepast.
OWASP MASTG
  • De OWASP Mobile Application Security Testing Guide (MASTG) is een beveiligingsstandaard voor mobiele applicaties en fungeert als een uitgebreide testgids. Deze gids beschrijft de processen, technieken en tools die worden gebruikt bij het uitvoeren van beveiligingstests op mobiele apps, en bevat daarnaast een uitgebreide reeks testcases. Hierdoor kunnen testers consistente en grondige resultaten leveren.

Waar wordt de PTES standaard voor gebruikt?

De Penetration Testing Execution Standard (PTES) bestaat uit verschillende kernonderdelen die alle aspecten van een penetratietest omvatten, waaronder:

  1. Initiële communicatie en doelstelling: Hierbij wordt besproken waarom de pentest wordt uitgevoerd en worden de verwachtingen en doelen helder gecommuniceerd tussen de tester en de organisatie.
  2. Informatie verzamelen en dreigingsmodellering: In deze fase duiken de testers in het verzamelen van gegevens om een grondig begrip van de organisatie en haar mogelijke bedreigingen te ontwikkelen.
  3. Kwetsbaarheden identificeren, exploitatie en post-exploitatie: Dit is het technische gedeelte waarin testers hun beveiligingsexpertise inzetten. Ze zoeken naar kwetsbaarheden, proberen deze te exploiteren en analyseren de gevolgen van een geslaagde aanval, terwijl ze ook rekening houden met de zakelijke context van de organisatie.
  4. Rapportage: In deze laatste fase wordt het hele proces overzichtelijk vastgelegd. Het rapport biedt inzicht in de bevindingen en zorgt ervoor dat het waardevol en begrijpelijk is voor de klant, zodat deze er optimaal van kan profiteren.

Waar wordt de CVSS voor gebruikt?

Het Common Vulnerability Scoring System (CVSS) is een open standaard die een framework biedt voor het communiceren van de eigenschappen en impact van beveiligingskwetsbaarheden in zowel software als hardware. Dit model is ontworpen om een consistente en nauwkeurige beoordeling van kwetsbaarheden te garanderen. Tegelijkertijd stelt het onderzoekers in staat om inzicht te krijgen in de specifieke kenmerken van de kwetsbaarheden die zijn gevonden om de uiteindelijke scores te bepalen.

Welke methodieken hanteren jullie bij het uitvoeren van pentesten?

De belangrijke standaarden die Anovum hanteert (afhankelijk van de te testen omgeving) zijn:

  • OWASP WSTG (Open Web Application Security Project Web Security Testing Guide)
  • OWASP MASTG (Open Web Application Security Project Mobile Application Testing Guide)
  • PTES (Penetration Testing Execution Standard)
  • NOREA DigiD Assessment
  • CVSS (Common Vulnerability Scoring System)

Met behulp van het Common Vulnerability Scoring System (versie 4.0) wordt de ernst van een kwetsbaarheid vastgesteld. Daarnaast gebruikt Anovum input van de opdrachtgever om een CIA-weging (Confidentiality, Integrity, Availability) toe te passen op de gevonden kwetsbaarheden.

Hoelang duurt een pentest?

De duur van een pentest hangt sterk af van de te testen omgeving en de afspraken die met de opdrachtgever worden gemaakt over de te gebruiken aanvalsscenario’s.

Welk scenario is het beste voor mij? Black, Grey of White Box?

Bij een Black Box pentest wordt er vooraf geen informatie over de omgeving aan de pentesters verstrekt. In tegenstelling daarmee wordt bij een White Box pentest alle relevante informatie over de omgeving van tevoren gedeeld met de testers. Als u voor het eerst een pentest laat uitvoeren en een algemeen beeld van uw beveiliging wilt krijgen, kan een Black Box + Grey Box pentest een goede keuze zijn.