Wat is een penetratietest? Pentest uitgelegd

Bijna alles wat een organisatie tegenwoordig doet, loopt via het internet. Klantgegevens, e-mail, facturatie, samenwerking met leveranciers: het staat allemaal in systemen die voortdurend bereikbaar zijn. Dat is praktisch, maar het betekent ook dat een kwaadwillende hacker er via datzelfde internet bij kan. Cyberaanvallen zijn aan de orde van de dag en geen bedrijf lijkt nog vanzelfsprekend veilig.

Het goede nieuws is dat u dit voor kunt zijn. Een pentest (kort voor penetratietest) brengt de zwakke plekken in uw beveiliging in kaart voordat een aanvaller ze vindt. U krijgt er een concreet advies bij, zodat u die kwetsbaarheden kunt verhelpen op een moment dat u dat zelf kiest.

Op deze pagina vertellen wij u alles over de penetratietest: wat het is, welke vormen er bestaan, hoe zo’n onderzoek verloopt en wat u ongeveer aan kosten kunt verwachten.

Wat is een penetratietest?

Een penetratietest is een onderzoek waarbij een ethische hacker zwakke plekken in de beveiliging van computersystemen, netwerken of applicaties identificeert. Pentesten wordt ook wel ethisch hacken of white hat hacken genoemd. De pentester kruipt in de huid van een aanvaller en gebruikt dezelfde tools en technieken als een echte cybercrimineel.

Het verschil zit in de bedoeling en de afspraken. Een kwaadwillende hacker valt systemen aan voor persoonlijk gewin of om schade aan te richten. Een ethische hacker werkt altijd met schriftelijke toestemming van de organisatie en met een vooraf vastgelegde scope. Hij stopt zodra hij een kwetsbaarheid heeft aangetoond, documenteert die in een rapport en geeft advies ter verbetering. Zonder die toestemming zou hetzelfde werk strafbare computervredebreuk zijn.

Een pentest hoeft zich niet te beperken tot één systeem. Het kan om een enkele webapplicatie gaan, maar net zo goed om de complete IT-infrastructuur: firewalls, netwerkapparatuur, Active Directory, cloudomgevingen en de werkplekken van uw medewerkers.

Een pentest is iets anders dan een vulnerability scan. Een vulnerability scan is een grotendeels geautomatiseerde controle die zoekt naar bekende kwetsbaarheden, en daarmee een goed middel om continu de gaten in de gaten te houden. Een pentest gaat verder: een mens probeert daadwerkelijk binnen te dringen en kan complexe aanvalsketens vinden die een geautomatiseerde scan mist. De twee vullen elkaar aan.

Black box, grey box en white box

Pentests zijn er in verschillende vormen. De hoeveelheid informatie die u vooraf deelt, bepaalt de aanpak van de pentester en hoe realistisch de test is. Tijdens het intakegesprek kiezen we samen de variant die bij uw vraag past. Er zijn drie hoofdvormen.

Black box pentest

Bij een black box pentest krijgt de pentester weinig tot geen informatie over het testobject, vaak alleen een domeinnaam of een IP-adres. Hij neemt de rol aan van een ongeïnformeerde aanvaller van buitenaf en bewandelt dezelfde paden als een echte hacker zou doen.

Dit is het meest realistische scenario voor een aanval vanaf het internet en het laat zien wat publiek zichtbaar en bereikbaar is. Het nadeel is dat het minder grondig is dan de andere vormen. De pentester kent uw functionaliteiten niet en weet niet zeker of alle belangrijke onderdelen aan bod zijn gekomen. Het kost bovendien meer tijd, omdat er veel verkenning nodig is. Deze vorm past goed bij organisaties die willen weten hoe ver een buitenstaander komt.

Grey box pentest

Bij een grey box pentest heeft de pentester gedeeltelijke kennis van het systeem. Hij krijgt bijvoorbeeld inloggegevens van een gewone gebruiker of een globaal netwerkdiagram.

Dit is de meest gekozen variant, omdat het een goede balans biedt tussen realisme en efficiëntie. De pentester verspilt geen tijd aan basisverkenning en kan zich richten op de belangrijkste risicogebieden. De test laat zien wat er mogelijk is wanneer een aanvaller toegang heeft tot een gebruikersaccount, bijvoorbeeld nadat een medewerker in een phishingmail is getrapt. Het beeld van uw beveiligingsniveau is daardoor vollediger dan bij een black box test.

White box pentest

Bij een white box pentest, ook wel crystal box genoemd, deelt u alle beschikbare informatie: toegang tot de broncode, documentatie van de infrastructuur, beheeraccounts en de netwerktopologie.

Dit levert de meest grondige beoordeling op. Doordat de pentester overal bij kan, vindt hij ook complexe logische fouten en ontwerpzwakheden die van buitenaf onzichtbaar blijven. Het is daarom een logische keuze wanneer u een broncodereview wilt of moet voldoen aan een norm zoals ISO 27001 of PCI DSS. De test is minder realistisch voor een externe aanvaller en door de diepere analyse meestal wat duurder.

Hoe verloopt een penetratietest?

Een professionele pentest volgt een vaste, gestructureerde aanpak. Wij werken volgens erkende methodieken zoals die van OWASP en de Penetration Testing Execution Standard. Een onderzoek bestaat doorgaans uit de volgende stappen.

1. Intakegesprek. We bespreken samen uw wensen, de scope van het onderzoek, de gewenste testvorm en de planning. Op basis daarvan stellen wij een offerte op.
2. Reconnaissance. De pentester verzamelt informatie over het doelwit, deels via openbare bronnen (OSINT) en deels via scanning.
3. Vulnerability assessment. Hij brengt de mogelijke zwakke plekken in kaart en bepaalt welke het verder onderzoeken waard zijn.
4. Exploitation. De pentester probeert de gevonden kwetsbaarheden daadwerkelijk te misbruiken, net als een echte aanvaller.
5. Post-exploitation. Hij onderzoekt hoe ver toegang reikt en welke impact een geslaagde aanval zou hebben, bijvoorbeeld of lateral movement naar andere systemen mogelijk is.
6. Rapportage. U ontvangt een rapport in begrijpelijk Nederlands met een managementsamenvatting en de technische bevindingen, inclusief een advies ter verbetering.
7. Hertest. Optioneel controleren wij later of de doorgevoerde oplossingen de kwetsbaarheden ook echt verhelpen.

Een pentest blijft een momentopname. Het onderzoek laat zien hoe weerbaar uw systemen waren op het moment van testen. Verandert er iets aan uw infrastructuur of applicaties, dan kan het beeld verschuiven. Daarom adviseren we een pentest periodiek te herhalen.

Wat wordt er getest?

Een pentest kan worden uitgevoerd op vrijwel elk systeem of netwerk waar beveiliging een rol speelt. Welke onderdelen we precies onderzoeken, bepalen we samen in het intakegesprek. Dit zijn de meest voorkomende soorten.

• Bedrijfsnetwerk pentest: uw complete IT-netwerk, zowel extern (vanaf het publieke internet, gericht op VPN’s, firewalls, webservers en e-mail) als intern (vanuit de positie van een kwaadwillende insider of een via phishing gecompromitteerde werkplek).
• Webapplicatie pentest: uw websites en webapplicaties, getest op kwetsbaarheden uit de OWASP Top 10 zoals SQL-injectie, Cross-Site Scripting en zwakke authenticatie.
• Active Directory pentest: of een aanvaller vanuit een gewoon gebruikersaccount kan doorgroeien naar Domain Admin via Kerberos-aanvallen, NTLM-relay en privilege escalation.
• Cloud pentests voor Azure, AWS en GCP: de configuratie en het rechtenbeheer van uw cloudomgeving.
• Mobiele applicatie pentest: iOS- en Android-apps, getest volgens de OWASP Mobile Security Testing Guide.
• WiFi pentest: uw draadloze netwerk, de encryptie en de scheiding tussen gasten- en bedrijfsnetwerk. Dit gebeurt op locatie, omdat de pentester binnen bereik van het signaal moet zijn.
• API pentest en code review voor wie specifiek de koppelingen of de broncode wil laten onderzoeken.

Welke onderdelen voor u zinvol zijn, hangt af van uw situatie. Uw beveiliging is zo sterk als de zwakste schakel, dus het heeft weinig zin om één goed beveiligd systeem uitputtend te testen terwijl een ander onderdeel buiten beeld blijft. De pentester adviseert u graag over een passende scope.

Wat kost een penetratietest?

De kosten van een pentest hangen sterk af van de scope en de complexiteit van wat u laat testen. Een kleine webapplicatie vraagt minder tijd dan een uitgebreide enterprise-omgeving. Als richtlijn:

• Een webapplicatie pentest begint rond €2.000 voor een kleine website en loopt op tot €8.000 of meer voor een complexe applicatie.
• Een bedrijfsnetwerk pentest begint rond €4.000 voor een interne test, een combinatie van extern en intern ligt hoger.
• Een cloud pentest begint rond €3.600 voor een Microsoft 365-omgeving en loopt op naarmate de omgeving groter is.
• Een Active Directory pentest begint rond €4.000 voor een enkel domein.

Heeft u een beperkt budget, dan is een timeboxed pentest een optie. De pentester test dan zoveel mogelijk binnen een afgesproken aantal dagen, met de nadruk op de meest kritieke systemen en de meest voor de hand liggende kwetsbaarheden. Het is een goede manier om snel een eerste indruk te krijgen, maar er is geen garantie dat de volledige omgeving aan bod komt. Voor compliance-doeleinden, zoals PCI DSS of ISO 27001, is een volledige pentest met afgebakende scope vereist.

Een precies bedrag noemen we pas na het intakegesprek, wanneer de scope helder is. Zo betaalt u voor wat u werkelijk nodig heeft.

Waarom een penetratietest laten uitvoeren?

De kosten van een geslaagde cyberaanval zijn fors. Naast direct herstel en mogelijke downtime kunt u te maken krijgen met reputatieschade, verlies van klanten en boetes wanneer persoonsgegevens op straat komen te liggen. Afgezet tegen die bedragen is een pentest een beheersbare uitgave. U weet liever vooraf waar uw zwakke plekken zitten dan dat een aanvaller het u laat merken.

Een pentest geeft u bovendien zekerheid over investeringen die u al heeft gedaan. Werken die nieuwe firewall, de EDR-oplossing of de awarenesstraining echt zoals u hoopt? Een realistische test laat het zien. Daarnaast vragen verschillende normen en wetten om periodieke pentests, waaronder ISO 27001, PCI DSS, NIS2 en NEN 7510 voor de zorg.

De algemene aanbeveling is om minimaal jaarlijks te pentesten, en vaker na grote wijzigingen, na een beveiligingsincident of voor systemen die extra kritiek zijn.