Home > Woordenlijst cyberbeveiliging > Pentest (penetratietesten)

Pentest (penetratietesten)

Een pentest is een inbraaktest uitgevoerd door een cyberbeveiligingsdeskundige (een zogenaamde pentester of ethisch hacker) die het computersysteem van een organisatie probeert te infiltreren om exploiteerbare beveiligingslekken op te sporen.

Het doel is om de robuustheid van de verdedigingen te beoordelen en eventuele zwakke punten te corrigeren. kwetsbaarheden voordat ze worden misbruikt door echte hackers.

 

Types pentests

Er zijn verschillende soorten pentests, afhankelijk van het informatieniveau waarover de pentester beschikt:

  • Pentest in een zwarte doos de pentester heeft geen voorafgaande informatie over het doelsysteem
  • Pentest in een grijze doos de pentester heeft gedeeltelijke informatie over het systeem
  • Pentest in een witte doos de pentester volledige toegang heeft tot systeeminformatie, inclusief broncode

 

Er zijn meer specifieke soorten pentests:

  • Pentesting van webapplicaties
  • Pentesting van interne netwerken
  • API test
  • Pentesting van verbonden objecten (IoT)

 

Google - Noto Color Emoji 15.0 (Geanimeerd) Hoe een pentest werkt

Een pentest bestaat over het algemeen uit de volgende stappen:

  1. Erkenning informatie verzamelen over het doelwit.
  2. Cartografie Inventaris van informatiesysteemactiva.
  3. Scannen op kwetsbaarheden analyse van mogelijke zwakke punten.
  4. Werking Poging om gedetecteerde kwetsbaarheden te misbruiken
  5. Verhoging van privileges administratorrechten
  6. Propagatie : uitbreiding van de aanval naar andere delen van het systeem
  7. Schoonmaak herstel van het systeem naar de oorspronkelijke toestand
  8. Rapporteer documentatie van resultaten en aanbevelingen

 

🛠️ Gebruikt gereedschap

Pentesters gebruiken een verscheidenheid aan specialistische tools, waaronder :

  • Burp Suite
  • Kali Linux
  • Metasploit
  • Nmap
  • Wireshark
  • John de Ripper
  • Hashcat
  • SQL-map...

Voorbeelden

Hier zijn een paar voorbeelden van wat een pentester zou kunnen testen:

  • De verificatie van een webtoepassing proberen te omzeilen
  • Exploitatie van configuratiefouten in een server
  • Voer een aanval uit door dienstweigering (DoS)
  • De sterkte van gebruikerswachtwoorden testen
  • De beveiliging van het Wi-Fi-netwerk van het bedrijf analyseren

 

Trends

  • Pentest as a Service (PtaaS) is in opkomst als oplossing voor organisaties die jaarlijks een groot aantal penetratietesten moeten uitvoeren.
  • Het gebruik van AI en machine learning in pentests
  • Meer pentesting in cloudomgevingen
  • Groeiende interesse in social engineering-tests

 

 

Cijfers en statistieken

🇫🇷 In Frankrijk

  • Volgens deANSSIOngeveer 80 % van de grote Franse bedrijven voert regelmatig pentests uit.
  • De gemiddelde kosten van een pentest liggen tussen €5.000 en €30.000, afhankelijk van de omvang.
  • De sectoren met de grootste vraag zijn financiën, gezondheidszorg en industrie.

 

Wereldwijd

  • De wereldwijde pentest-markt wordt geschat op ongeveer 1,7 miljard dollar.
  • Geschatte jaarlijkse groei van 13 % tot 16 %
  • Meer dan 50 % van de bedrijven voert minstens één pentest per jaar uit
  • De meest ontdekte kwetsbaarheden blijven :
    • Slecht authenticatiebeheer (bijna 70 %-tests)
    • Rifts XSS en injecties (ongeveer 60 %)
    • Verkeerde serverconfiguratie (55 %)

Bronnen: ANSSI, HackerOne jaarverslag, Portswigger onderzoeken naar webkwetsbaarheden, Pentest-standard.com rapport.

 

 

Op weg naar de ORSYS Cyber Academy: een gratis ruimte gewijd aan cyberbeveiliging