Wat is een Ethical Hacker?
Een Ethical Hacker is een beveiligingsspecialist die met voorafgaande toestemming van de eigenaar van het (beveiligde) systeem, dus op legitieme wijze, probeert netwerken of computersystemen binnen te dringen met behulp van dezelfde methoden, kennis en instrumenten als een hacker.
Dit wordt gedaan om kwetsbaarheden te ontdekken en te kijken of het mogelijk is om deze kwetsbaarheden ook daadwerkelijk te gebruiken door zonder de vereiste toegangsgegevens de beveiliging op deze systemen te omzeilen, in te breken of te doorbreken. Dit wordt gedaan om inzicht te krijgen in de effectiviteit van het (beveiligings-)systeem en om verbeterpunten te definiëren. Deze methode wordt ook wel een Pentest, hacktest of Penetratietest genoemd.
Waarom een Pentest/hacktest uitvoeren?
Een Pentest vindt om legitieme redenen plaats, met toestemming van de eigenaren van de systemen die gecontroleerd worden, met als doel de systemen juist beter te beveiligen. Het doel van een Pentest is om inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem en om verbeteringen te definiëren voor de beveiliging -met andere woorden, de risico’s en kwetsbaarheden te bestrijden.
Avensus en hacktesten
Avensus heeft goede kennis van en gedegen ervaring met het uitvoeren van Pentesten. Aangezien doorgaans een bedrijf zelf vaak niet over de noodzakelijk expertise en/of tijd beschikt om zelf een Pentest uit te voeren wordt deze daarom vaak uitbesteed en Avensus is daarvoor de juiste partner. Met informatie wil Avensus jou als opdrachtgever inhoudelijke hulp geven alsmede illustreren hoe een Pentesttraject (overzicht van het traject) kan verlopen.
Stappen van een Pentest traject:
- Opdrachtomschrijving
- De scope van de test
- Planning van de test
- Rapportage
- De testmethodieken
- Strafrecht en vrijwaringverklaringen
Audit, code review en risicoanalyse
De term audit wordt ook wel gebruikt om Penetratietests aan te duiden. Toch bestaan er enkele wezenlijke verschillen. Een audit is een formeel proces, dat start met een vastgesteld normenkader waarvan de auditor opzet, bestaan en werking kan toetsen. Een audit levert dan ook een volledig beeld op ten aanzien van het vooraf overeengekomen normenkader. De betekenis van een audit hangt dan ook sterk samen met de kwaliteit van het normenkader.
Bij een Penetratietest hoort geen normenkader; wel zal een professionele aanbieder een methodiek hebben volgens welke een Penetratietest van een bepaald soort besturingssysteem of applicatie wordt aangepakt, maar er wordt niet getoetst aan de hand van een normenkader. Creativiteit en vakkennis van de individuele tester speelt een veel grotere rol.
Bij een code review wordt de broncode van een applicatie onderzocht. Een code review is een goed middel om kwetsbaarheden in een applicatie te vinden. Omdat een code review en een Penetratietest vanuit verschillende perspectieven werken en geen overlap hebben is het goed mogelijk om te tegelijkertijd uit te gevoerd.
Een risicoanalyse brengt kwetsbaarheden, bedreigingen en risico’s in kaart. Bij de analyse wordt een inschatting gemaakt van de dreigingskans en de impact ervan. Een risicoanalyse heeft meestal een hoger abstractieniveau dan een Penetratietest. Vooral daarom wordt vaak eerst een risicoanalyse uitgevoerd waaruit blijkt welke kwetsbaarheden in een systeem een groot risico zijn, om vervolgens een Penetratietest uit te voeren die de kwetsbaarheden in kaart brengt en daarvoor de mogelijke oplossingen.
Wil je advies? Of een test, onderzoek of audit uit laten voeren?
Avensus biedt experts die op korte termijn, professioneel, duidelijke en betaalbare audits, onderzoeken en Penetratietesten kunnen uitvoeren. Wij zijn aangesloten bij de Nederlandse Organisatie van Register EDP-auditros (NOREA). Bij een IT-audit beoordelen wij een deel van, of zelfs de complete automatisering binnen jouw organisatie en de organisatie van je automatisering. Vraag vrijblijvend meer informatie aan.
Avensus adviseert jouw bedrijf graag over de kwaliteit van je ICT. Hierbij kan je denken aan onder andere betrouwbaarheid, beschikbaarheid en integriteit. In een algemene ICT-audit voeren wij in een kort tijdsbestek een deskundig, onpartijdig en onafhankelijk onderzoek uit. Zo houden wij jouw organisatie een spiegel voor op het gebied van automatisering en bieden we je de instrumenten voor betere prestaties. Een investering die zichzelf terugverdient.
We komen graag met je in contact, bel 085-0200070 of mail info@avensus.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen. Avensus helpt graag mee aan een veiligere digitale wereld!