Beveiligingnieuws Logo

Onze partners

Alphatronics

Multiwacht

Unii

Seris

Nimo Drone Security

Akuvox

Oribi ID Solutions

Seagate

i-Pro

Traka ASSA ABLOY

Hikvision

CDVI

Eizo

Paraat

Bosch Security Systems

Brivo

RoSecure

Kiwa

Eagle Eye Networks

BHVcertificaat.online

Optex

ADI

Ajax Systems

JMB Groep

DZ Technologies

HID

Genetec

De Beveiligingsjurist

VVNL

EAL

Top Security

Trigion

ASIS

Securitas

Nenova

Crown Security Services

SmartCell

Centurion

Nimo Dog Security

Paxton

Connect Security

SMC Alarmcentrale

Advancis

NIBHV

IDIS

VEB

OSEC

Milestone

SOBA

Explicate

Avigilon Alta

Alarm Meldnet

VideoGuard

HD Security

ASSA ABLOY

CardAccess

Dero Security Products

Lobeco

Uniview

20face

Masset Solutions

VAIBS

Service Centrale Nederland

VBN

Secusoft

Bydemes

GFT

Sequrix

CSL

Add Secure

ARAS

Regio Control Veldt

NetworxConnect

Hanwha Vision Europe

PG Security Systems

2N

SmartSD

Gold-IP

G4S

Pentesting in de praktijk: gids voor ethisch hacken

4 november 2022
Redactie
04:26

Voor een amateur lijkt het inbreken op een netwerk een onmogelijke opgave. Maar wie zich een tijdje in de materie verdiept, zal merken dat het vaak bepaald niet ingewikkeld is. Ethische hackers kunnen onder andere via pentesting uitvinden waar de (vaak vele) zwakke punten zitten in de beveiliging.

Een penetratietest (of kortweg ‘pentest’) is een gesimuleerde cyberaanval uitgevoerd door een pentest bedrijf om de veiligheid van de digitale infrastructuur van een organisatie vast te stellen en te documenteren. Het doel van een pentest is om potentiële kwetsbaarheden in het netwerk te vinden die een kwaadwillende zou kunnen misbruiken om ongeoorloofde toegang te krijgen, vertrouwelijke gegevens te stelen, activiteiten te verstoren of andere schade te veroorzaken. Pentests worden vaak gebruikt door organisaties om: – zwakke plekken in hun netwerkbeveiliging op te sporen om hun netwerkbeveiliging te verbeteren; – te voldoen aan interne en externe regelgeving; en – financiële verliezen als gevolg van datalekken te beperken.

Kat- en muisspel
Penetratietesten kunnen een uitdaging vormen en voelen vaak aan als een kat-en-muisspel. Het is niet ongewoon dat testers in het begin het gevoel hebben dat ze geen vooruitgang boeken. De sleutel is om het hoofd koel te houden, gefocust en methodisch te blijven, en erop te vertrouwen dat je met elk nieuw stukje informatie meetbare vooruitgang boekt. Met consequente inspanning en aandacht voor details zijn netwerken sneller kraken dan menigeen denkt!

Hoe verschillen pentests en ethisch hacken?
Pentests, waarbij kwaadaardige aanvallen worden gesimuleerd, zijn iets anders dan ethisch hacken, waarbij legaal en ethisch wordt ingebroken in netwerken om de beveiliging ervan te beoordelen. Dit onderscheid is belangrijk omdat ethisch hacken legaal is, terwijl pentesten dat niet is. Ethische hackers mogen dezelfde tools en technieken gebruiken als kwaadwillende hackers, maar zij doen dit met toestemming van de netwerkeigenaars en met het doel de netwerkbeveiliging te verbeteren. Ethisch hacken kan door iedereen met de vereiste technische vaardigheden en kennis worden uitgevoerd, terwijl voor pentests een gediplomeerde en gecertificeerde professional nodig is. In sommige rechtsgebieden mogen alleen gecertificeerde pentesters legaal pentests uitvoeren.

Het vinden van kritieke kwetsbaarheden tijdens een pentest
Een penetratietest begint meestal met handmatige aanvallen. Dat zijn aanvallen waarbij de handen worden gebruikt. Handmatige aanvallen worden uitgevoerd met behulp van een host- of netwerkcomputer (bijvoorbeeld een computer die voor het testen wordt gebruikt of een computer binnen het netwerk). Handmatige aanvallen worden gebruikt om kwetsbaarheden op netwerkniveau op te sporen, zoals verkeerd geconfigureerde switches of routers en ontbrekende patches. Zodra dit soort kwetsbaarheden is ontdekt, kan een geautomatiseerde aanval worden gebruikt om de kwetsbaarheid te verifiëren.

Geautomatiseerde aanvallen
Geautomatiseerde aanvallen worden uitgevoerd door tools die kwaadaardige pakketten of code naar de geteste apparaten sturen. Een geautomatiseerde Nmap-scan stuurt bijvoorbeeld TCP-pakketten naar het geteste netwerk om te bepalen of de apparaten een specifieke dienst draaien. Als de apparaten de dienst draaien, bepaalt de Nmap-scan de versie van de dienst. Als de servers verkeerd geconfigureerd zijn en de dienst draait op een open poort, maakt de geautomatiseerde scan gebruik van de kwetsbaarheid door kwaadaardige pakketten naar de dienst op het apparaat te sturen.

Bezoek voor meer informatie de website van Surelock.

Deel dit artikel via:

Vlog 9

Premium partners

Videoguard

Suricat

Seagate

SequriX

Wordt een partner