“Hoe een pentest eruit gaat zien, kan per organisatie verschillen. Dit kan je heel breed trekken, van het controleren van een complete IT-omgeving  tot het lijfelijk een gebouw inlopen en bekijken waar kwetsbaarheden of verbeterpunten liggen met betrekking tot informatiebeveiliging, maar ook bijvoorbeeld het controleren van de broncode van een maatwerkapplicatie. Ik adviseer organisaties om pentesting onderdeel te maken van het ‘vernieuwingsproces’ zodat nieuwe onderdelen altijd gecontroleerd worden op eventuele kwetsbaarheden. Het zou zonde zijn als er veel tijd en geld is gestoken in de beveiliging van de organisatie en door de komst van nieuwe processen/applicaties/apparatuur alle moeite voor niets is geweest doordat de nieuwe inrichting zorgt voor een beveiligingslek. Better safe than sorry, natuurlijk!”

Red & Blue Teaming

Bij Red en Blue teaming worden de actieve beveiligingsmaatregelen gecontroleerd die door een organisatie zijn opgesteld voor zowel de fysieke beveiliging als voor de digitale beveiliging.

Je kunt het rode team zien als een kwaadwillende die toegang probeert te verkrijgen tot gevoelige gegevens en het blauwe team als de IT-afdeling van je organisatie.

Het rode team (Red Team) houdt zich bezig met de offensieve kant en probeert kwetsbaarheden te vinden en te misbruiken terwijl het blauwe team (Blue team) zich bezig houdt met het opsporen van deze kwetsbaarheden, deze aanpakt en tevens zorgdraagt voor het optimaal functioneren van de  beveiligingsmaatregelen.

Iets dat steeds vaker voorkomt is een extra team welke het Purple Team (paarse team) wordt genoemd. Team paars zorgt ervoor dat beide teams met elkaar gaan samenwerken. Zo worden de aanvalsmethodieken van het rode team besproken met het blauwe team en bekeken welke maatregelen hiervoor genomen zijn om zo het beveiligingsniveau van de gehele organisatie omhoog te tillen.

Als pentester maak ik onderdeel uit van zowel het rode- als paarse team. Voordat er begonnen wordt met het controleren van de veiligheidsmaatregelen worden eerst de doelstellingen besproken. Een veel voorkomende doelstelling is het buitmaken van persoonsgegevens. Via verschillende methodes wordt geprobeerd om toegang tot het gebouw en netwerk te krijgen om zo de persoonsgegevens te bemachtigen.

Val me aan!

“Het liefst krijg ik zo min mogelijk informatie over het IT-landschap, als ik word ingehuurd, want dat zou sturend kunnen werken. Een hacker krijgt namelijk ook geen overzicht van het netwerk en welke systemen actief zijn binnen een netwerk op een presenteerblaadje. Sommige klanten zeggen letterlijk: Val me aan!

Er zijn ook klanten die een specifiek systeem getest willen hebben. Informatie is juist dan wel weer belangrijk. Zoals eerder gezegd: Een pentest kan heel breed of juist heel specifiek zijn.

Na de uitvoer wordt er een rapportage opgesteld waarin de verbeterpunten staan opgenomen. Ook wordt er een presentatie voor medewerkers gegeven. Tijdens deze presentatie zie je al een stukje bewustwording binnen de organisatie ontstaan en dat is belangrijk om de veiligheid te vergroten. De mens is immers de zwakste schakel. Als laatste stap wordt de organisatie geholpen met het doorvoeren van de verbeterpunten en worden er afspraken gemaakt voor een ‘hertest’”.

Juliën werkt volgens onderstaand stappenplan:

1. Extern onderzoek

2. Social Engineering

3. Intern onderzoek

RESULTAAT

A. Rapportage

B. Presentatie

C. Ondersteuning.