Fasering
Avensus hanteert voor de pentest een aanpak die in de praktijk al vele malen met succes is toegepast. Met deze aanpak is Avensus in staat niet alleen het project efficiënt uit te voeren maar ook snel resultaten te boeken. In essentie bestaat de fasering van het project uit vier fasen: Voorbereiding, Detectie & analyse, Misbruik en Rapportage en Afstemming.
De verschillende fasen van de pentest worden hieronder op hoofdlijnen uitgewerkt. Per fase geven we hierna een toelichting en wordt het ‘resultaat’ beschreven.
Fase 1: Voorbereiding
In deze fase maakt Avensus in overleg met jou een planning van de uit te voeren werkzaamheden en worden concrete werkafspraken gemaakt. In deze fase wordt eventueel verdere informatie bestudeerd over de achterliggende infrastructuur. Een belangrijk onderdeel van deze fase is dat alle benodigdheden en randvoorwaarden voor de penetratietest in onderling overleg worden geregeld.
De benodigdheden zijn:
- URL en IP-adres van de websites;
- Getekende vrijwaringsverklaring van jou;
- Whitelisting van netwerk ranges van Avensus.
Resultaat: definitieve planning en een overzicht van de infrastructuur.
Fase 2: Detectie en analyse
Na een verkennende inventarisatie van de omgeving op basis van publieke informatie zoals te vinden in zoekmachines, domein- en IP-registratie wordt een geautomatiseerde kwetsbaarhedenscan op twee niveaus uitgevoerd:
- Webserver
Hiermee wordt onder andere gezocht naar ontbrekende updates, configuratiefouten, standaard/eenvoudig te raden wachtwoorden en versienummers van gebruikte programmatuur.
- Web applicatie
Hiermee wordt de webapplicatie inhoudelijk gescand op bekende kwetsbaarheden binnen de applicatie zelf zoals vormen van SQL-, URL- en HTML-injectie, de loginmechaniek, het sessie-management, het zoeken naar kwetsbare URL’s, standaard/eenvoudig te raden wachtwoorden, het ‘lekken’ van belangrijke informatie en de wijze van foutafhandeling.
Nadat de verzamelde informatie is geanalyseerd worden aanvullende handmatige tests geselecteerd en uitgevoerd die het gedrag van de applicatie en infrastructuur in kaart brengen. Voor websites test Avensus in ieder geval de meest voorkomende kwetsbaarheden op het gebied van webapplicaties zoals gedefinieerd in het Raamwerk Beveiliging Webapplicaties opgesteld het Nationaal Cyber Security Centrum (NCSC)
Op basis van de verzamelde informatie wordt bekeken op welke manieren succesvol toegang kan worden verkregen: de daadwerkelijke hack.
Avensus maakt in deze fase gebruik van diverse (technische) hulpmiddelen. Daarnaast wordt van bronnen binnen Avensus en daar buiten (internet) gebruik gemaakt. Enkele voorbeelden van technische hulpmiddelen zijn:
- Tenable Nessus Professional
- Rapid7 Nexpose
- Metasploit Pro
- Nikto
- BurpSuite Pro
Afhankelijk van de uitkomst van de analyse wordt doorgegaan met de volgende fase, of wordt aanvullende detectie gedaan.
Resultaat: overzicht zwakheden.
Fase 3: Misbruik
Getracht wordt de mogelijke zwakheden in de beveiliging van aan de website gekoppelde systemen te misbruiken om toegang tot de achterliggende systemen en/of gegevens te krijgen (‘daadwerkelijk inbreken’). Hierbij maken de experts van Avensus veelvuldig gebruik van zelf ontwikkelde hulpmiddelen. De uitkomsten van deze pogingen geven aanleiding tot nieuwe detectiepogingen en worden meegenomen in de analysefase van de volgende iteratie.
Resultaat: bevindingen misbruikpogingen
Fase 4: Rapportage en afstemming
Op basis van de testresultaten wordt een schriftelijke rapportage opgesteld op grond waarvan jij inzicht verkrijgt in mogelijke kwetsbaarheden. De rapportage zal niet alleen fouten vermelden maar tevens risico inschattingen, oplossingen en toelichtingen geven. Op grond van deze rapportage ben jij in staat om de gevonden kwetsbaarheden te mitigeren.
Naast de rapportage wordt de mogelijkheid geboden om de testresultaten mondeling (maximaal twee uur) toe te lichten. De tester(s) zijn beschikbaar voor terugkoppeling en navraag.
Naast bovenstaande dient de rapportage onderstaande onderdelen te vermelden:
- De gebruikte applicaties (inclusief versienummering);
- De parameters, gebruikt voor de test;
- Het tijdstip waarop de testen zijn uitgevoerd;
- De IP-adressen vanaf waar de testen zijn uitgevoerd;
Resultaat: rapportage
Uitvoering van de pentest in detail
Fase 1: Network Footprinting (Reconnaissance)
De pentester probeert zo veel mogelijk openbare informatie te verkrijgen over de targetomgeving. Reconnaissance kan twee vormen aannemen: actief en passief. Meestal wordt er gekozen voor passief. Een passieve reconnaissance is altijd het beste startpunt omdat deze in de regel onder de radar blijft van bijvoorbeeld intrusion detection systemen. Dit betekent dat openbaar beschikbare informatie wordt opgezocht over de targetorganisatie met behulp van een webbrowser, newsgroups, DNS registraties, etc.
Fase 2: Discovery & Probing
Extern, op afstand, wordt nagegaan welke operating systems aanwezig zijn in de targetorganisatie. Ook applicaties worden herkend en kenmerken hierover worden vergaard. Dit heet ‘fingerprinting’. Er bestaan twee verschillende manieren om fingerprinting uit te voeren: passief en actief. Dit is ‘noisy’ en vereist dat packets verzonden worden naar een host (computerserver) en wordt gewacht op een ‘reply’, of juist de afwezigheid daarvan. Applicaties in de targetomgeving kunnen bepaald worden op basis van een open port op een host in die targetomgeving. Door port scanning is het mogelijk om een beeld te vormen van welke operating systems en applicaties draaien in de targetomgeving om zodoende de vervolgstappen van de Pentest nader toe te spitsen op deze systemen.
Fase 3: Enumeration
Na het beeld te hebben verkregen wat draait op de targetomgeving wordt dieper hierop ingezoomd. Complete overzichten worden verkregen van operating systems en applicaties tot op bijvoorbeeld versieniveau.
Fase 4: Vulnerability Assessment
Operating systems en applicaties kennen openbaar bekende kwetsbaarheden. Deze worden opgezocht en hiermee wordt de Pentest verder uitgevoerd om daarmee weer na te gaan of toegang kan worden verkregen tot operating systems en applicaties.
Fase 5: Penetration
Daadwerkelijk een aangetroffen kwetsbaarheid gebruiken om toegang te verkrijgen, heet een ‘exploit’. In deze fase vindt toegangsverschaffing plaats. Feitelijk wordt een ‘stepping stone’ opgebouwd. Een stepping stone is een vervolgaanval, ofwel ketenaanval. In een serie van eerder gehackte machines komt een pentester uiteindelijk bij het doel. Een stepping stone is ook een hulpmiddel om de eigen ware identiteit te verbergen.
Fase 6: Testing
Uitgevoerd worden specifieke acties zoals password cracking, Cisco (indien aanwezig) testing, Citrix (indien aanwezig) testing, in kaart brengen van het interne netwerk, server specifieke tests (gericht op bijvoorbeeld databaseservers, mailservers en webservers), etc.
Fase 7: Rapportage
Alle data wordt gecontroleerd op “False-positives”. Indien de bevinding geen False-positive is wordt deze in het rapport gerapporteerd. Tevens zal er gekeken worden wat gedaan moet worden om deze bevinding op te lossen. Hier zal in het rapport een advies over worden gedaan.
Pentest voor jouw organisatie?
Benieuwd naar hoe de Penetratietest de IT-omgeving van jouw organisatie veiliger kan maken? We komen graag met je in contact, bel 085-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Avensus helpt graag mee aan een veiligere digitale wereld!
