ICT beveiligingsonderzoek

ICT beveiligingsonderzoeken bestaan in vele soorten en maten, en worden mede daardoor in de markt met verschillende termen aangeduid; penetratietest (pentest), security scan, quick scan, audit, ethische hack, enzovoorts.

Tijdens een ICT beveiligingsonderzoek worden kwetsbaarheden in de beveiliging van systemen, applicaties en/of werkwijzen opgespoord door een ethisch hacker van Baaten ICT Security. Gedurende de onderzoeksperiode combineert de ethisch hacker verschillende (test)technieken om zoveel mogelijk informatie te verzamelen over de beveiligingsstatus van de te onderzoeken objecten. Denk bijvoorbeeld aan mobiele apps, (web)applicaties, infrastructuren, kantoor automatisering, internetomgevingen (DMZ), of interne servers.

Na het onderzoek wordt de verzamelde informatie geanalyseerd, en worden aangetroffen kwetsbaarheden vastgelegd in een rapport. Elke bevinding wordt voorzien van een prioriteitsindicatie en een advies om het risico van de aangetroffen kwetsbaarheden te kunnen verlagen. Hierdoor kan er op basis van het rapport meteen worden gestart met het plannen en uitvoeren van verbeteracties, zodat het risico op een digitale inbraak door cybercriminelen wordt verkleind.

Webapplicatie

Door een diepgaande analyse van de onderliggende structuur van webapplicaties en bijhorende systemen, speurt Baaten ICT Security beveiligingskwetsbaarheden in uw webomgeving op. Denk hierbij aan OWASP top 10 kwetsbaarheden zoals SQL injectie, cross-site scripting, configuratie-, en authenticatiefouten. Vervolgens worden deze kwetsbaarheden gebruikt om daadwerkelijk ‘in te breken’, en wordt bekeken of er vanuit die positie nog verder kan worden binnengedrongen. Door deze werkwijze wordt inzichtelijk gemaakt wat de impact van de aangetroffen kwetsbaarheden is.

Infrastructuur scan

Uw bedrijfsnetwerk en/of internetomgeving wordt door een ethisch hacker gecontroleerd op de aanwezigheid van informatiebeveiligingskwetsbaarheden. Voor een optimaal resultaat worden geautomatiseerde controles (vulnerability scanning) gecombineerd met diverse handmatige technische tests. Het resultaat van een security scan is een maatwerk rapport met daarin een heldere beschrijving van de aangetroffen kwetsbaarheden, inclusief een advies om het risico van de kwetsbaarheden te kunnen verlagen. Na afloop kunt u dus meteen aan de slag om uw beveiliging te verbeteren.

Vooraf wordt overeengekomen met welk kennisniveau de security scan wordt uitgevoerd. Dit varieert van volledige voorkennis van de omgeving (glassbox testing) tot geen enkele voorkennis van de omgeving (blackbox testing). Voor een algemeen beeld van de beveiligingsstatus van uw IT omgeving, adviseert Baaten ICT Security de security quickscan. Bij deze variant wordt de inspectieperiode begrensd tot maximaal één werkdag, en wordt het onderzoek uitgevoerd met beperkte voorkennis van de omgeving. De nadruk ligt dan op het vinden van kwetsbaarheden die relatief makkelijk te ontdekken en te misbruiken zijn. Indien wenselijk kunt u daarna besluiten om een specifiek vervolgonderzoek uit te laten voeren.

Wi-Fi audit

Wi-Fi netwerken zijn van nature kwetsbaar voor onderschepping van de draadloze communicatie. Daarom is het belangrijk om ervoor te zorgen dat de authenticatie, configuratie, en versleuteling van uw Wi-Fi omgeving voldoende bestand zijn tegen misbruik door hackers. Om medewerkers buiten de deur op een verantwoorde wijze gebruik te laten maken van vreemde Wi-Fi netwerken, adviseert Baaten ICT Security om de hiervoor gebruikte apparatuur en programmatuur te onderzoeken op informatiebeveiligingskwetsbaarheden.

Security due diligence

Leverancier, partnerschap of bedrijfsovername? Voordat u die handtekening onder het contract zet, wilt u graag weten of de informatiebeveiliging op orde is. Bij intensieve vormen van samenwerking erven partijen vaak ook (een deel van) elkaars risico’s. Dan is het wel zo handig om vooraf te weten welke risico’s dit zijn, en hoe hiermee om wordt gegaan. Door het resultaat van technische én organisatorische informatiebeveiligingscontroles af te zetten tegen de risicobereidheid van de opdrachtgever, adviseert Baaten ICT Security welke verbeteringen noodzakelijk zijn om het risico als gevolg van een samenwerking niet onnodig te doen stijgen.