logo ORSYS Le Mag

Het medium voor training en vaardigheden

Home > Woordenlijst cyberbeveiliging > Pentest (penetratietesten)

Pentest (penetratietesten)

Een pentest is een inbraaktest uitgevoerd door een cyberbeveiligingsdeskundige (een zogenaamde pentester of ethisch hacker) die het computersysteem van een organisatie probeert te infiltreren om exploiteerbare beveiligingslekken op te sporen.

L’objectif est d’évaluer la robustesse des défenses et de corriger les kwetsbaarheden avant qu’elles ne soient exploitées par de véritables pirates informatiques.

 

Types pentests

Er zijn verschillende soorten pentests, afhankelijk van het informatieniveau waarover de pentester beschikt:

  • Pentest in een zwarte doos de pentester heeft geen voorafgaande informatie over het doelsysteem
  • Pentest in een grijze doos de pentester heeft gedeeltelijke informatie over het systeem
  • Pentest in een witte doos de pentester volledige toegang heeft tot systeeminformatie, inclusief broncode

 

Er zijn meer specifieke soorten pentests:

  • Pentesting van webapplicaties
  • Pentesting van interne netwerken
  • API test
  • Pentesting van verbonden objecten (IoT)

 

Google - Noto Color Emoji 15.0 (Geanimeerd) Hoe een pentest werkt

Een pentest bestaat over het algemeen uit de volgende stappen:

  1. Erkenning informatie verzamelen over het doelwit.
  2. Cartografie Inventaris van informatiesysteemactiva.
  3. Scannen op kwetsbaarheden analyse van mogelijke zwakke punten.
  4. Werking Poging om gedetecteerde kwetsbaarheden te misbruiken
  5. Verhoging van privileges administratorrechten
  6. Propagatie : uitbreiding van de aanval naar andere delen van het systeem
  7. Schoonmaak herstel van het systeem naar de oorspronkelijke toestand
  8. Rapporteer documentatie van resultaten en aanbevelingen

 

🛠️ Gebruikt gereedschap

Pentesters gebruiken een verscheidenheid aan specialistische tools, waaronder :

  • Burp Suite
  • Kali Linux
  • Metasploit
  • Nmap
  • Wireshark
  • John de Ripper
  • Hashcat
  • SQL-map...

Voorbeelden

Hier zijn een paar voorbeelden van wat een pentester zou kunnen testen:

  • De verificatie van een webtoepassing proberen te omzeilen
  • Exploitatie van configuratiefouten in een server
  • Voer een aanval uit door dienstweigering (DoS)
  • De sterkte van gebruikerswachtwoorden testen
  • De beveiliging van het Wi-Fi-netwerk van het bedrijf analyseren

 

Trends

  • Pentest as a Service (PtaaS) is in opkomst als oplossing voor organisaties die jaarlijks een groot aantal penetratietesten moeten uitvoeren.
  • Het gebruik van AI en machine learning in pentests
  • Meer pentesting in cloudomgevingen
  • Groeiende interesse in social engineering-tests

 

 

Cijfers en statistieken

🇫🇷 In Frankrijk

  • Volgens deANSSIOngeveer 80 % van de grote Franse bedrijven voert regelmatig pentests uit.
  • De gemiddelde kosten van een pentest liggen tussen €5.000 en €30.000, afhankelijk van de omvang.
  • De sectoren met de grootste vraag zijn financiën, gezondheidszorg en industrie.

 

Wereldwijd

  • De wereldwijde pentest-markt wordt geschat op ongeveer 1,7 miljard dollar.
  • Geschatte jaarlijkse groei van 13 % tot 16 %
  • Meer dan 50 % van de bedrijven voert minstens één pentest per jaar uit
  • De meest ontdekte kwetsbaarheden blijven :
    • Slecht authenticatiebeheer (bijna 70 %-tests)
    • Rifts XSS en injecties (ongeveer 60 %)
    • Verkeerde serverconfiguratie (55 %)

Bronnen: ANSSI, HackerOne jaarverslag, Portswigger onderzoeken naar webkwetsbaarheden, Pentest-standard.com rapport.

 

 

Terug naar Woordenlijst

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Systeem- en netwerkbeveiliging, niveau 1

Hacking en beveiliging, niveau 1

Beveiliging van informatiesystemen, samenvatting

BEST

Op weg naar de ORSYS Cyber Academy: een gratis ruimte gewijd aan cyberbeveiliging