Geplaatst op
Een penetratietest, ook wel pentest genoemd, is een gesimuleerde cyberaanval op jouw computersysteem om te controleren op exploiteerbare kwetsbaarheden. In de context van webapplicatiebeveiliging worden penetratietesten vaak gebruikt om een webapplicatie-firewall (WAF) uit te breiden.
Bij een pentest kan worden geprobeerd een aantal applicatiesystemen te doorbreken (bijv. Application Protocol Interfaces (API’s). Frontend-/backendservers) om kwetsbaarheden bloot te leggen, zoals niet-opgeschoonde invoer die vatbaar is voor aanvallen met code-injectie.
Inzichten uit de penetratietest kunnen worden gebruikt om jouw WAF-beveiligingsbeleid te verfijnen en gedetecteerde kwetsbaarheden te patchen.
Penetratietestfasen
Het pentestproces kan worden onderverdeeld in vijf fasen.
Planning
De eerste fase omvat:
• Informatie verzamelen (bijv. netwerk- en domeinnamen, mailserver) om beter te begrijpen hoe een doelwit werkt en wat de mogelijke kwetsbaarheden zijn.
Scannen
Dit is een statische analyse om de code van een applicatie te inspecteren.
Toegang verkrijgen
Deze fase maakt gebruik van webapplicatie-aanvallen. Om de kwetsbaarheden van een doelwit bloot te leggen. Testers proberen deze kwetsbaarheden vervolgens uit te buiten. Dit om inzicht te krijgen in de schade die ze kunnen aanrichten.
Toegang behouden
Het doel van deze fase is om te zien of de kwetsbaarheid kan worden gebruikt om een aanhoudende aanwezigheid in het uitgebuite systeem te bereiken. Dit moet lang genoeg zijn om een kwaadwillende persoon diepgaande toegang te geven.
Analyse
De resultaten van de penetratietest worden vervolgens verwerkt in een rapport met daarin:
• Specifieke kwetsbaarheden die werden uitgebuit
• Gevoelige gegevens waartoe toegang is verkregen
• De hoeveelheid tijd dat de pentester onopgemerkt in het systeem kon blijven
Deze informatie wordt door beveiligingspersoneel geanalyseerd om te helpen bij het configureren van de WAF-instellingen van een onderneming en andere beveiligingsoplossingen voor applicaties om kwetsbaarheden te patchen en te beschermen tegen toekomstige aanvallen.
Externe testen
Externe penetratietesten richten zich op de activa van een bedrijf die zichtbaar zijn op internet, bijvoorbeeld de webapplicatie zelf, de bedrijfswebsite en e-mail- en domeinnaamservers (DNS). Het doel is om toegang te krijgen en waardevolle gegevens te extraheren.
Interne testen
Bij een interne test simuleert een tester met toegang tot een applicatie achter zijn firewall een aanval door een kwaadwillende insider. Dit simuleert niet noodzakelijkerwijs een malafide werknemer. Een veelvoorkomend startscenario kan een medewerker zijn wiens inloggegevens zijn gestolen als gevolg van een phishing-aanval.
Blind testen
Bij een blinde test krijgt een tester alleen de naam van de onderneming die het doelwit is. Dit geeft beveiligingspersoneel een real-time blik op hoe een daadwerkelijke applicatie-aanval zou plaatsvinden.
Dubbelblind testen
Bij een dubbelblinde test hebben beveiligingspersoneel geen voorkennis van de gesimuleerde aanval. Net als in de echte wereld hebben ze geen tijd om hun verdediging te versterken voor een poging tot doorbraak.
Gericht testen
In dit scenario werken zowel de tester als het beveiligingspersoneel samen en houden ze elkaar op de hoogte van hun bewegingen. Dit is een waardevolle trainingsoefening die een beveiligingsteam real-time feedback geeft vanuit het oogpunt van een hacker.