Onderzoeksvraag

Samen bepalen we de onderzoeksvraag, waarbij we ons richten op risico’s voor vertrouwelijke informatie, intellectueel eigendom of (bijzondere) persoonsgegevens.

Tegenmaatregelen

Wij adviseren om het onderzoek onaangekondigd uit te voeren, waarbij alleen u als opdrachtgever op de hoogte bent. Zo kunnen wij ook eventuele tegenmaatregelen toetsen. Detectie, proactief monitoren en effectief handelen is hierbij van belang.

Scope en scenario’s

Alle vormen van aanvallen kunnen worden ingezet tijdens het onderzoek. In overleg worden de testscenario’s vastgesteld met een beperkte scope. Net als bij een daadwerkelijke aanval van een hacker, beschikken onze security consultants voorafgaand aan het onderzoek over een beperkte hoeveelheid aan informatie over de aan te vallen systemen (time boxed). Zij inventariseren welke systemen in gebruik zijn, wat de functies zijn en of hier kwetsbaarheden in aanwezig zijn. Vervolgens zullen zij zich met behulp van deze kwetsbaarheden toegang proberen te verschaffen tot vertrouwelijke informatie of intellectueel eigendom. Wanneer de security consultants vrij zijn in de scenariokeuze spreken wij over ‘Red Teaming’.

Scope/Scenario: ‘Web facing’

Tijdens dit onderzoek zetten onze security consultants diverse technieken in om op zoek te gaan naar alle systemen die vanaf het internet te benaderen zijn binnen de gegeven tijd.

Scope/Scenario: ‘Social Engineering’

In dit onderzoek komt naar voren hoe vatbaar uw medewerkers zijn voor een social engineering aanval. Denk hierbij bijvoorbeeld aan phishing mails of het verspreiden van USB-sticks.

Scope/Scenario: ‘Draadloze netwerken’

Onze security specialisten gaan in dit onderzoek in-/ en rondom de locatie op zoek naar kwetsbaarheden in de draadloze netwerken.

Scope/Scenario: ‘Intern Netwerk’

Uit onderzoek binnen het interne netwerk blijkt hoe goed het interne netwerk beveiligd is tegen cybercriminaliteit zoals verspreiding van malware of ransomware. Diverse technieken worden ingezet om te komen tot vertrouwelijke informatie of intellectueel eigendom.

Scope/Scenario: ‘Mystery Guest’

Hoe reageren de medewerkers wanneer een onbekende het pand betreedt? Welke maatregelen zijn getroffen en in hoeverre worden deze nageleefd? Uit dit onderzoek blijkt of de fysieke beveiliging van de organisatie op orde is.

Scope/Scenario: ‘Beknopt Onderzoek’

Heeft u een beknopte scope? Zoals een enkele website of een nieuwe versie van uw applicatie? In deze gevallen is het vaak niet nodig om een volledige pentest uit te voeren.

Kwaliteit

Het is in de praktijk lastig om vooraf te beoordelen of een onderzoek kwalitatief hoogwaardig is. Dit zal uiteindelijk pas in de praktijk blijken. Wij maken conformeren aan internationale standaarden om tot een zo nauwkeurig mogelijk resultaat te komen. Denk hierbij aan de Penetration Testing Execution Standard (PTES) en procedures binnen het Open Web Application Security Project (OWASP) voor webapplicatie en API’s. Deze standaarden spelen een belangrijke rol in het kader van informatiebeveiliging en worden door ons beschouwd als minimale eis waarop getoetst dient te worden.

Nulmeting

Veelal kan de eerste penetratietest beschouwd worden als een nulmeting. De nulmeting brengt uw huidige beveiligingsniveau in kaart, van waaruit wij de roadmap ontwikkelen om uw organisatie weerbaarder te maken tegen cyberaanvallen.

Rapportage

Alle onderzoeksresultaten worden opgenomen in een rapportage. Deze rapportage bevat naast risicoclassificaties en samenvatting voor management en directie ook alle bevindingen en aanbevelingen. Deze zijn op dusdanige wijze beschreven dat ze reproduceerbaar zijn. De rapportage wordt ook gepresenteerd.