Pentest & Vulnerability Scan

Tegenwoordig kan bijna geen enkele organisatie meer zonder IT. Zo maken we gebruik van computers, telefoons en een verscheidenheid aan IoT-devices. Dagelijks worden in deze apparaten kwetsbaarheden gevonden, die consequenties kunnen hebben voor uw organisatie. Is uw IT-infrastructuur beveiligd tegen deze nieuwe kwetsbaarheden? Zijn uw (web)applicaties met klantdata wel up-to-date? En kan bijvoorbeeld uw nieuwe intelligente koelkast of smartwatch eigenlijk gehackt worden, waardoor cyber criminelen toegang krijgen tot waardevolle informatie? Alle theoretische modellen ten spijt, is er maar één manier om werkelijk te bewijzen dat u weerbaar bent tegen nieuwe aanvallen. Periodiek een Vulnerability Scan en Pentest (ookwel Penetratietest genoemd) laten uitvoeren.  

Verschillen Vulnerability Scan en Pentest

Om bovenstaande vragen te beantwoorden en een betrouwbaar inzicht te krijgen in de staat van beveiliging van uw IT, bieden wij twee diensten aan: De Vulnerability Scan en de Pentest.  

vulnerability scan kwetsbaarhedenscan

Vulnerability Scan

Bij een Vulnerability Scan (ook wel vulnerability assessment of kwetsbaarhedenscan genoemd) analyseert een van onze security specialisten uw systemen met behulp van de kwetsbaarhedenscanner ‘Nessus’. Hierbij worden uw systemen automatisch getoetst op bekende kwetsbaarheden en misconfiguraties. Via een duidelijk en overzichtelijk rapport krijgt u een algemeen beeld van de huidige staat van de cyber security van uw IT-systemen.  

pentest penetratietest

Pentest

Bij een Pentest (ook wel penetratietest genoemd) gaan wij nog een stapje verder en simuleren wij echte hackpogingen om kwetsbaarheden in netwerken, systemen en software te ontdekken. Ook hier wordt een Vulnerability Scan uitgevoerd, maar daarna verifiëren wij persoonlijk de uitkomsten. Daarnaast testen wij persoonlijk met behulp van bekende en vertrouwde methodieken. Zo testen wij onder andere een webapplicatie door middel van de OWASP Testing Guide en beoordelen wij kwetsbaarheden via het Common Vulnerability Scoring System (CVSS). Met in-depth testen krijgt u gegarandeerd een diepgaand inzicht in de algehele staat van beveiliging van uw IT systemen. 

Vulnerability Scan

Basisinventarisatie
  • Automatisch scannen op kwetsbaarheden en misconfiguraties
  • Voldoende voor ISO 27001 en AVG
  • Rapportage ook te begrijpen voor IT-leken
  • Uitvoering volgens beproefde en betrouwbare methodes

Pentest

Bovenop de elementen van een kwetsbaarhedenscan
  • Persoonlijk testen
  • Toetsing van automatisch gevonden kwetsbaarheden
  • Het simuleren van echte hackaanvallen
  • Uitgebreide beschrijving aanvalsmethode in rapportage

Hoe werkt een Pentest?

Een Pentest wordt meestal als een grey box test uitgevoerd. Hierbij heeft de pentester beperkte kennis van het te testen systeem en krijgt de pentester toegang via een gebruikers en/of administrator account. De Pentest kent 5 fases: 

Verkenning

Automatisch testen

Persoonlijk
testen

Risicoanalyse & aanbevelingen

Rapportage

De vuurproef voor uw Cyber Security

U kunt een Vulnerability Scan of Pentest laten uitvoeren, omdat u compliant wil zijn met een normering, zoals ISO27001. Echter, wij geloven niet in het simpelweg testen omdat het staat voorgeschreven in een managementsysteem.  

Wij vinden dat het onderwerp moet beklijven en dat sleutelfiguren in uw organisatie doordrongen moeten zijn van de noodzaak van een dergelijke test. In feite is goede beveiliging het borgen van iets dat niet gebeurt. De enige echte manier om te bewijzen dat uw beveiliging goed werkt, is door dit soort risicosimulaties. 

Het beschermen van uw reputatie en het vertrouwen dat uw klanten in u hebben, heeft onze hoogste prioriteit. Met name datalekken zijn desastreus voor het imago van een organisatie en hebben vaak verstrekkende gevolgen. Wij stellen alles in het werk om dit te voorkomen. 

De Meridion Methode

Wij maken cyber security voor iedereen begrijpelijk door het gebruik van de Meridion Methode. Hiermee beschrijven wij kwetsbaarheden niet alleen technisch, maar ook organisatorisch.  Onze methode is gebaseerd op een managementsysteem: het Meridion Compliance Center. Het systeem is de ideale manier om een norm inzichtelijk te maken, te laten leven en te borgen. Dit doen we door uw processen in kaart te brengen en uw producten en diensten te toetsen op o.a. kwaliteit en veiligheid. Hierbij staat het risicoprofiel centraal dat wordt opgesteld aan de hand van een context-, stakeholder- en risicoanalyse. Meridion helpt u met een gefaseerde implementatie en onderhoud van uw norm in eenvoudige stappen. 

Efficiënt en toekomstvast

Groot voordeel van het Meridion Compliance Center is dat het de overeenkomsten toont tussen verschillende normen, die soms tot tachtig procent overlappen. Zo hoeft u niet voor elke certificering het gehele proces opnieuw te doorlopen. Wij bieden u een managementsysteem waarmee u – dankzij inzicht in de overeenkomsten tussen normen – heel eenvoudig aan aanvullende normen of eventuele toekomstige aanpassingen kunt voldoen. Nieuwe elementen zijn dus snel geborgd in het bestaande managementsysteem, wat u veel tijd en moeite bespaart. 

Gerben den Dunnen

Gaat u liever direct in gesprek met een deskundige op het gebied van Vulnerability Scans en Pentests? Neem dan gerust contact op met Gerben den Dunnen, Commercieel directeur en Lead Consultant bij Meridion.