Infrastructuur security test intern netwerk
Deze test is
bedoeld om inzicht te geven in kwetsbaarheden en risico’s op ongeautoriseerde
toegang tot systemen en gevoelige gegevens in het netwerk. Hierbij zullen
aanvallen worden uitgevoerd vanuit een perspectief van een interne medewerker
of een aanvaller die reeds toegang heeft tot het interne netwerk (fysiek of
logisch). Tijdens een dergelijke test wordt de beveiliging getoetst van
componenten zoals werkplekken, servers, databases, fileshares en Active
Directory.
Internet infrastructuur security test
Tijdens een
internet infrastructuur security test simuleren wij aanvallen op de via het
internet toegankelijke infrastructuur. Het doel van een internet infrastructuur
security test is het identificeren van kwetsbaarheden in getroffen
beveiligingsmaatregelen op infrastructuurniveau. Denk hierbij aan componenten
zoals webservers, e-mailservers, VPN-toegang en netwerkapparatuur zoals routers
en firewalls.
Applicatie security test
(black box)
Met een black box applicatie security test simuleren we aanvallen op de
geselecteerde (web)applicaties en onderliggende toegankelijke infrastructuur
vanuit een niet-geautoriseerde gebruiker. Deze test geeft inzicht in veel
voorkomende applicatiekwetsbaarheden zoals SQL-injectie, Cross-Site Scripting
(XSS), input validatie en kwetsbare management interfaces.
Applicatie security test (grey
box)
Met een black box applicatie security test simuleren we aanvallen op de
geselecteerde (web)applicaties en onderliggende toegankelijke infrastructuur,
zowel vanuit het perspectief van een niet-geautoriseerde gebruiker als een
geautoriseerde gebruiker van de applicaties. Deze test geeft inzicht in veel
voorkomende applicatiekwetsbaarheden zoals SQL-injectie, Cross-Site Scripting
(XSS), input validatie en kwetsbare management interfaces, maar ook applicatie
logica, waaronder ongeautoriseerde toegang tot informatie van andere
gebruikers.
Mobile device security test
Hierbij testen wij de beveiliging van op het mobile device opgeslagen data
bij diefstal of verlies, instellingen rondom wachtwoorden, authenticatie van
het device op het netwerk, geconfigureerde eindgebruikersbeperkingen en
versleuteling van communicatie tussen het device en het interne netwerk. Bij
een mobile security test kunnen wij tevens een analyse uitvoeren van relevante
securityinstellingen binnen de Mobile Device Management (MDM) applicatie. Op
deze manier kunnen wij mogelijke zwakheden identificeren in de instellingen van
de MDM-configuraties.
Mobile app security test
Deze test is specifiek ontworpen voor mobiele applicaties op smartphones en
tablets. Als onderdeel van deze security test wordt de (mobiele) applicatie op
de smartphone / tablet, de backend applicatieomgeving en de communicatie tussen
beide getest op kwetsbaarheden. Hierbij kunnen wij tevens gebruik maken van een
gerichte applicatie security test voor de backend en een source code security
test van de app.
VoIP security test
Met de VoIP security test identificeren wij de kwetsbaarheden in de
beveiligingsmaatregelen die zijn getroffen op
het niveau van netwerk, besturingssysteem en de VoIP-protocollen om zo te
bepalen of het mogelijk is gesprekken af te luisteren of ongeautoriseerde
toestellen toe te voegen. Hierbij onderzoeken wij onder andere de configuratie
van VoIP-toestellen de beveiliging van de SIP- en voicemail-servers.
ICS / SCADA security test
Kritieke infrastructuur en industriële systemen zijn in toenemende mate
afhankelijk van Informatie Technologie (IT). De integratie van IT in de
operationele techniek zorgt voor een nieuw dreigingslandschap voor ICS- en
SCADA-systemen. Wij ondersteunen organisaties in het onderzoeken en testen van
de SCADA en (industriële) controlesystemen met zowel passieve als actieve
beveiligingsassessments. Passieve beveiligingsassessments, waarbij de
operationele techniek niet direct getest wordt, richt zich op het onderzoeken
van de huidige beveilingmaatregelen van de organisatie. Vervolgens wordt het
huidige niveau van beveiliging vergeleken met het gewenste niveau. Vanuit daar
kunnen stappen gemaakt worden om de beveiliging te verbeteren.
De actieve beveiligingstesten omvatten onder meer penetratietesten op
werkomgevingen voor het identificeren van zwakheden. Wanneer hackers de
mogelijkheid krijgen om SCADA-systemen aan te vallen en uit te buiten, kan de
impact op de veiligheid van mensen en de impact op de continuïteit van de
organisatie significant zijn.
Hierbij kan ondersteuning ten opzichte van het opstellen en inregelen van
incident response capaciteiten in de opdracht worden meegenomen. Hierdoor kan
de fysieke schade alsmede de financiële schade van een cyber incident worden
beperkt.
Hacking as a Service
In plaats
van het uitvoeren van (ad-hoc) security tests, die eenmalig inzicht geven in de
security situatie van een applicatie of infrastructuurcomponent, is Hacking as
a Service (HaaS) een abonnementsvorm. Hierbij testen we de
infrastructuurcomponenten en applicaties die onderdeel zijn van het abonnement
op periodieke basis. Voor de verschillende serviceniveaus geven we elke periode
(elk kwartaal/halfjaarlijks/jaarlijks) inzicht in de security situatie.
Wachtwoordsterkte test
Tijdens de
wachtwoordsterkte test voeren wij een evaluatie uit op de sterkte van de
wachtwoorden die eindgebruikers kiezen voor belangrijke applicaties/
besturingssystemen. Voor het uitvoeren van deze test zullen wij in samenwerking
met de klant een extract maken van de wachtwoord hashes van geselecteerde
gebruikers. Hierna zullen wij met geautomatiseerde tools proberen de hashes te
“kraken” om de bijbehorende wachtwoorden te achterhalen. Deze analyse geeft
inzicht in de gekozen wachtwoorden en bijbehorende statistieken.
Configuratie security test
Bij de
configuratie security test voeren wij een test uit op relevante
securityinstellingen van de IT-infrastructuur componenten, bijvoorbeeld een
web-, applicatie- of database server of een firewall. Voor het uitvoeren van de
configuratie security test maken wij gebruik van geautomatiseerde testscripts
om een beeld te verkrijgen van onder andere hardening en versioning/patching
(eventueel ten opzichte van “best practices” zoals de CIS-baseline). Deze tests
geven inzicht in kwetsbaarheden die niet direct zichtbaar zijn vanaf het
netwerk.
Wi-Fi security test
Met een
Wi-Fi security test simuleren wij aanvallen op het draadloos netwerk met behulp
van speciaal geprepareerde hardware. Deze testen geven inzicht in de aanwezige
kwetsbaarheden in de draadloze netwerktechnologie van de organisatie.
Fysieke security test
Deze test is
bedoeld om inzicht te geven in kwetsbaarheden en risico’s rondom
ongeautoriseerde toegang tot het lokale netwerk, gevoelige documenten of
afgeschermde ruimtes door een buitenstaander. Hierbij zal een aanval worden
gesimuleerd van een kwaadwillende buitenstaander die zich toegang tracht te
verschaffen tot één of meerdere van de locaties. De nadruk bij deze test zal
liggen op het doorbreken van maatregelen om ongeautoriseerde fysieke toegang te
verkrijgen van buitenaf.
Spear phishing security test
Deze test is
gericht op het identificeren van kwetsbaarheden in het menselijke aspect:
interne medewerkers die toegang hebben tot kritische applicaties en informatie.
Met de spear phising security test trachten wij medewerkers over te halen
toegang te verschaffen tot informatie of systemen.
Awareness sessies en hacking
demonstraties
Wij bieden
organisaties verschillende awareness sessies aan in de vorm van presentaties,
“live” hacking demonstraties en trainingen op het gebied van hacken. Wij kunnen
op vrijwel elk specifiek security onderwerp en voor elke doelgroep een
activiteit aanbieden die het bewustzijn van medewerkers binnen het bedrijf van
de klant vergroot. Zo bieden wij bijvoorbeeld demonstraties aan op het gebied
van hacking van webapplicaties, IT-infrastructuur, SCADA-omgevingen, mobile
apps en devices.
Red Teaming
Tijdens een red teaming test worden niet alleen preventieve
beveiligingsmaatregelen getest, maar wordt ook getoetst of het security team
een aanval tijdig detecteert en hier adequaat op reageert. Zie het als een
“oefenwedstrijd”, waarbij we door het simuleren van realistische aanvallen de
weerbaarheid van de organisatie tegen gerichte aanvallen testen. Gedurende een
red teaming test worden echte hackerstechnieken toegepast, waaronder het
gebruik van phishing en malware. Een dergelijke test is vooral geschikt voor
organisaties die een volwassen beveiligingsniveau hebben en graag willen weten
hoe zij presteren wanneer ze echt onder vuur liggen.
|