Penetratietest & Kwetsbaarhedenscan

Tegenwoordig kan bijna geen enkele organisatie meer zonder IT. Zo maken we gebruik van computers, telefoons en een verscheidenheid aan IoT-devices. Dagelijks worden in deze apparaten kwetsbaarheden gevonden, die consequenties kunnen hebben voor uw organisatie. Is uw IT-infrastructuur beveiligd tegen deze nieuwe kwetsbaarheden? Zijn uw (web)applicaties met klantdata wel up-to-date? En kan bijvoorbeeld uw nieuwe intelligente koelkast of smartwatch eigenlijk gehackt worden, waardoor cyber criminelen toegang krijgen tot waardevolle informatie? Alle theoretische modellen ten spijt, is er maar één manier om werkelijk te bewijzen dat u weerbaar bent tegen nieuwe aanvallen. Periodiek een Kwetsbaarhedenscan en Penetratietest laten uitvoeren.  

Verschillen Kwetsbaarhedenscan en Penetratietest

Om bovenstaande vragen te beantwoorden en een betrouwbaar inzicht te krijgen in de staat van beveiliging van uw IT, bieden wij twee diensten aan: De Kwetsbaarhedenscan en de Penetratietest.  

vulnerability scan kwetsbaarhedenscan

Kwetsbaarhedenscan

Bij een Kwetsbaarhedenscan (ook wel vulnerability scan of vulnerability assessment genoemd) analyseert een van onze security specialisten uw systemen met behulp van de kwetsbaarhedenscanner ‘Nessus’. Hierbij worden uw systemen automatisch getoetst op bekende kwetsbaarheden en misconfiguraties. Via een duidelijk en overzichtelijk rapport krijgt u een algemeen beeld van de huidige staat van informatiebeveiliging van uw IT-systemen.  

pentest penetratietest

Penetratietest

Bij een Penetratietest (ook wel pentest genoemd) gaan wij nog een stapje verder en simuleren wij echte hackpogingen om kwetsbaarheden in netwerken, systemen en software te ontdekken. Ook hier wordt een kwetsbaarhedenscan uitgevoerd, maar verifiëren wij handmatig de uitkomsten. Daarnaast testen wij handmatig met behulp van bekende en vertrouwde methodieken. Zo testen wij onder andere een webapplicatie door middel van de OWASP Testing Guide en beoordelen wij kwetsbaarheden via het Common Vulnerability Scoring System (CVSS). Met in-depth testen krijgt u gegarandeerd een diepgaand inzicht in de algehele staat van beveiliging van uw IT systemen. 

Kwetsbaarhedenscan

Basisinventarisatie
  • Automatisch scannen op kwetsbaarheden en misconfiguraties
  • Voldoende voor ISO 27001 en AVG
  • Rapportage ook te begrijpen voor IT-leken
  • Uitvoering volgens beproefde en betrouwbare methodes

Penetratietest

Bovenop de elementen van een kwetsbaarhedenscan
  • Handmatig testen
  • Toetsing automatisch gevonden kwetsbaarheden
  • Het simuleren van echte hackaanvallen
  • Uitgebreide beschrijving aanvalsmethode in rapportage

Hoe werkt een Penetratietest?

Een Penetratietest wordt als een grey box test uitgevoerd. Hierbij heeft de pentester beperkte kennis van het te testen systeem en krijgt de pentester toegang via een gebruikers en/of administrator account. De Penetratietest kent 5 fases: 

Verkenning

Automatisch testen

Handmatig testen

Risicoanalyse & aanbevelingen

Rapportage

De vuurproef voor uw informatiebeveiliging

U kunt een Kwetsbaarhedenscan of Penetratietest laten uitvoeren, omdat u compliant wil zijn met een normering, zoals ISO27001. Echter, wij geloven niet in het simpelweg testen omdat het staat voorgeschreven in een managementsysteem.  

Wij vinden dat het onderwerp moet beklijven en dat sleutelfiguren in uw organisatie doordrongen moeten zijn van de noodzaak van een dergelijke test. In feite is goede beveiliging het borgen van iets dat niet gebeurt. De enige echte manier om te bewijzen dat uw beveiliging goed werkt, is door dit soort risicosimulaties. 

Het beschermen van uw reputatie en het vertrouwen dat uw klanten in u hebben, heeft onze hoogste prioriteit. Met name datalekken zijn desastreus voor het imago van een organisatie en hebben vaak verstrekkende gevolgen. Wij stellen alles in het werk om dit te voorkomen. 

De Meridion Methode

Wij maken informatiebeveiliging voor iedereen begrijpelijk door het gebruik van de Meridion Methode. Hiermee beschrijven wij kwetsbaarheden niet alleen technisch, maar ook organisatorisch.  Onze methode is gebaseerd op een managementsysteem: het Meridion Compliance Center. Het systeem is de ideale manier om een norm inzichtelijk te maken, te laten leven en te borgen. Dit doen we door uw processen in kaart te brengen en uw producten en diensten te toetsen op o.a. kwaliteit en veiligheid. Hierbij staat het risicoprofiel centraal dat wordt opgesteld aan de hand van een context-, stakeholder- en risicoanalyse. Meridion helpt u met een gefaseerde implementatie en onderhoud van uw norm in eenvoudige stappen. 

Efficiënt en toekomstvast

Groot voordeel van het Meridion Compliance Center is dat het de overeenkomsten toont tussen verschillende normen, die soms tot tachtig procent overlappen. Zo hoeft u niet voor elke certificering het gehele proces opnieuw te doorlopen. Wij bieden u een managementsysteem waarmee u – dankzij inzicht in de overeenkomsten tussen normen – heel eenvoudig aan aanvullende normen of eventuele toekomstige aanpassingen kunt voldoen. Nieuwe elementen zijn dus snel geborgd in het bestaande managementsysteem, wat u veel tijd en moeite bespaart. 

Gerben den Dunnen

Gaat u liever direct in gesprek met een deskundige op het gebied van Kwetsbaarhedenscans en Penetratietesten? Neem dan gerust contact op met Gerben den Dunnen, Commercieel directeur en Lead Consultant bij Meridion.