Penetration Testing (Pen-testing) is een cruciaal en onmisbaar onderdeel dat elke organisatie moet hebben in haar cybersecurity arsenaal. Penetratietests stellen organisaties in staat om de kracht en effectiviteit van hun beveiligingsmaatregelen te beoordelen wanneer vertrouwde pen-testers cyberaanvallen onder veilige omstandigheden simuleren en een rapport indienen met de status en suggesties voor tegenmaatregelen om risico ‘ s te minimaliseren en de beveiligingshouding te verbeteren.

Het is niet verstandig of financieel haalbaar om willekeurig/ blind of voor al uw digitale activa en componenten van de website/ webtoepassing/ netwerk pen-tests uit te voeren. De omvang en het inbraakniveau van elke pen-test hangt af van uw verwachte resultaten, behoeften en context. Een vertrouwde en deskundige security professional, zoals Indusface, zal altijd kiezen voor de juiste mix van penetratie testen tools, methoden en technieken op basis van deze parameters.

In dit artikel zullen we kijken naar penetratietests geclassificeerd op basis van hoe de tests worden gedaan/ methoden, evenals de componenten/ activa/ gebieden waarop wordt gericht.

typen Pen-testen op basis van gebruikte methoden

A. Black Box Testing h3>

Black Box Pen-testen, ook bekend als externe Testen of Trial and Error Testing, is waar de externe activa van het bedrijf / de activa zichtbaar zijn op het internet. Dit soort tests emuleren een real-world aanval waarbij de tester de ins en outs van de applicatie/ netwerk/ systeem niet kent en een brute force aanval of een blinde aanval op de IT-infrastructuur zal lanceren.

de tester haalt inzichten uit de targets en evalueert hun functionaliteit op basis van input van bots of andere geautomatiseerde processen en tools die kwetsbaarheden en hiaten in het doelgerichte systeem/ netwerk/ applicatie blootleggen.

b. White Box Testing

White Box Pen-testing, ook bekend als Internal Testing of Structural/ Clear/ Glass Box Testing, is waar de tester root-/ admin-niveau toegang heeft tot en volledige informatie heeft over de systemen/ netwerken/ toepassingen die moeten worden getest, inclusief de broncode, IP-adres schema, OS details, enz. Het doel is om de interne structuur en de sterkte van de systemen/ netwerken/ toepassingen te testen tegen kwaadaardige insiders of een buitenstaander die de referenties heeft gestolen met behulp van een phishing-aanval.

Met White Box Testing kunt u begrijpen of interne bewerkingen en modules correct worden uitgevoerd volgens de specificaties, en logische, ontwerp -, typografische en syntaxisfouten detecteren, evenals misconfiguraties binnen de infrastructuur of omgeving. Deze vereisen veel meer geavanceerde Penetratietestinstrumenten. C. Grey Box Testing h3> Grey Box Pen-testing is waar de tester gedeeltelijke informatie krijgt over de systemen/ netwerken / toepassingen, zoals toegang tot softwarecode, schema ‘ s van de systeemarchitectuur, enz. om een aanval te simuleren. Dit type test bootst een scenario na waarin een externe entiteit onrechtmatige toegang tot infrastructuurdocumenten heeft verkregen en volgt hoe gedeeltelijke toegang tot informatie het doel beïnvloedt.

typen Pen-testen op basis van gerichte componenten/ activa/ gebieden

  1. netwerkdiensten testen

de meest voorkomende en gevraagde soort pen-test, network services testing, probeert kwetsbaarheden en hiaten in de netwerkinfrastructuur op te sporen en combineert zowel interne/ client-side als externe/ remote testen. Het is geen diepe pen test. Hier, de netwerkgebieden doel omvatten Firewall configuratie, Stateful analyse, SQL Server, SMTP mailservers, DNS, IPS evasion, enz.

2. Web Application Testing Web Application Testing is een veel intensere, diepere, gedetailleerde en gerichte vorm van pen-test om kwetsbaarheden, hiaten en misconfiguraties in de web app op te sporen. Het is een tijdrovende en complexe vorm van testen waarbij planning en strategie essentieel zijn voor een grotere effectiviteit. De gebieden die hier zijn gericht zijn API’ s, ActiveX, Plug-ins, Applets, Scriptlets, enz.

3. Client-Side Testing

dit type testen probeert kwetsbaarheden op de software te identificeren die lokaal ontstaan en kunnen worden benut vanaf het einde van de client. Bijvoorbeeld webbrowser, software voor het maken van inhoud (MS Office Suite, Photoshop, Adobe Page Maker), mediaspelers, enz.

4. Social Engineering Testing

Hier probeert de tester een aanval te simuleren door werknemers/ gebruikers te misleiden om vertrouwelijke of vertrouwelijke informatie te verkrijgen. Het doel is om het bewustzijn en de kracht van het menselijk netwerk in de organisatie te testen. Er zijn twee subcategorieën in social engineering testen:

    testen op afstand waarbij phishingtechnieken worden gebruikt om vertrouwelijke informatie via elektronische middelen te stelen. fysieke tests waarbij de tester fysieke middelen of aanwezigheid gebruikt door imitatie, afvalcontainerduiken, bedreigingen, overtuigende telefoontjes, enz. om toegang te krijgen tot vertrouwelijke informatie.

    5. Draadloos netwerk testen

    Dit type pen-testen probeert kwetsbaarheden en zwakke punten in de draadloze apparaten gebruikt op de client-side te identificeren. Bijvoorbeeld tablets, smartphones, notebooks, enz. Deze tests omvatten ook draadloze protocollen, draadloze toegangspunten en beheerdersreferenties.

    kies de juiste mix van penetratietesttools om de broodnodige elementen van proactiviteit en opmerkzaamheid in de beveiligingsinspanningen van uw organisatie te brengen.

    web application security banner