Hoe werkt een pentest?
Tijdens een pentest is een veel gestelde vraag wat maakt nou een pentest en hoe werkt dat nou precies? In deze blog proberen we een kijkje te geven in de werking van een pentest.
In het kort
In de wereld van cyber security kennen we de “aanvallende kant” ook wel “hacker, red team of pentester” en de verdedigende kant het “blue team”. Er is veel geschreven over het verschil tussen pentesten en red teaming maar kort komt het erop neer dat een pentester vaak een opdracht krijgt vanuit een vooraf bepaalde positie in het netwerk een aanval uit te voeren en een redteamer ongeveer alles uit de kast moet halen om die positie te verkrijgen (denk hierbij aan phising, social engineering, tailgating, piggybacking etc.) de red teamer moet dus ook vaak fysiek aan de bak.
Verschil tussen pentesten en vulnerability scanning
In het verleden hebben we hier al meerdere malen over dus we houden het kort maar het doel van een vulnerability scan is om op een laagdrempelige manier kwetsbaarheden in kaart te brengen. Het geeft snel een beeld van het huidige beveiligingsniveau van uw systemen maar kan false positives bevatten omdat ze op geautomatiseerde wijzen verkregen zijn. Bij pentesten probeer je verder te gaan door de gevonden kwetsbaarheden uit te buiten en ook de achterliggende systemen te bereiken.
Onderzoek, onderzoek en onderzoek
Een van de eerste stappen bij het starten van een pentest is om het doelwit te verkennen. Bij het verkennen verzamelen we gegevens en inlichtingen en proberen we de omgeving te begrijpen. De gegevens die we verzamelen helpen bij het aanvalsplan.
- Passief onderzoek - Passieve verkenning is het verzamelen van informatie over het doel zonder het doel daadwerkelijk aan te raken. Met technieken zoals OSINT en tools zoals shodan, netcraft en censys kan informatie worden verzameld over de omgeving zoals de gebruikte techniek, het besturingssysteem, versie nummers etc. Al deze informatie is van cruciaal belang voordat de audit wordt gestart.
- Actief onderzoek - Wanneer actief onderzoek wordt uitgevoerd, betekent dit dat het doel direct wordt aangeraakt. De resultaten van actieve verkenning zijn veel specifieker en betrouwbaarder, maar ook veel riskanter. In sommige gevallen kan de IPS/IDS van het bedrijf hierdoor waarschuwingen genereren of zelfs de aanvaller blokkeren. Onderzoeken zoals OS-fingerprinting en portscans zijn erg luidruchtig en vereisen dat er data naar de server wordt verzonden. Deze onderzoeken zijn echter essentieel om een beeld op te bouwen van welke applicaties er draaien en de pentest daarop af te stemmen.
Goed onderzoek kan de pentest maken of breken. Als het proces niet zorgvuldig wordt uitgevoerd zal dit de resultaten en de kans op het vinden van kwetsbaarheden beperken.
De omgeving of het doelwit scannen
Als we eenmaal een beeld hebben van de omgeving gaan we opzoek naar laaghangend fruit en een goed voorbeeld is het gebruik van een vulnerability scanner op een doelnetwerk. Het scannen van perimeter- en interne netwerkapparaten op zoek naar zwakke punten. Dit omvat het scannen van het doel op actieve services, open poorten, firewalldetectie, het vinden van kwetsbaarheden, os-detectie, etc.
Nadat we deze gegevens verzameld hebben is het doel om kwetsbaarheden te identificeren die daadwerkelijk kunnen worden misbruikt. Tijdens de pentest is het dus belangrijk om menselijke interactie en vindingrijkheid te combineren om fouten te ontdekken die geautomatiseerde hulpmiddelen vaak missen.
Het verkrijgen van toegang en pivoting
Om toegang te krijgen tot bepaalde systemen, segmenten of servers moet er vaak controle over een of meerdere netwerkapparaten worden genomen om ofwel gegevens van het doelwit te extraheren, of om dat apparaat te gebruiken om vervolgens aanvallen op andere doelen uit te voeren. Het omvat de exploitatie van kwetsbaarheden, social engineering, protocollen etc.
Eenmaal toegang tot andere systemen kan de pentester lateraal bewegen of pivoting. Het woord pivot zegt veel mensen niks, het betekent “scharnier” maar wat we in de security hiermee bedoelen is dat we van het ene gecompromitteerde systeem naar het andere systeem “lateraal” verplaatsen. Dit is handig om toegang te behouden, nieuwe informatie te verzamelen maar ook om bijvoorbeeld tussen segmenten te bewegen.
Andere methodes
De methodes die we hierboven schetsen van scannen, vinden van kwetsbaarheden en exploiteren is slechts één manier om te hacken. Er is niet één juiste manier, en elke methode die werkt, is net zo goed als elke andere. Veel ransomware groepen en professionele hackers profiteren van het feit dat mensen aardig, vertrouwend en behulpzaam zijn. In de cyber security wereld wordt dit ook wel: "Social Engineering" genoemd.
Eind doel
Het eind doel is afhankelijk van de scope van de opdracht maar vaak eindigt dit met toegang tot bepaalde systemen, klant data of domain admin rechten voor de pentester.
Een pentest is eigenlijk een nulmeting op dat moment en brengt het beveiligingsniveau op een bepaald punt binnen de IT infrastructuur in beeld. Onze ethische hackers brengen in kaart wat de risico’s en gevolgen zijn binnen de afgesproken tijd (time-box) en stellen een management rapport op met actionable data, aanbevelingen en praktische acties. Op die manier kan de beveiliging naar een hoger niveau worden gebracht.
Bent u benieuwd wat Secity op het gebied van IT security en pentesting kan betekenen? Neem dan vrijblijvend contact met ons op om de mogelijkheden te bespreken. Wilt u ons liever direct spreken? Bel ons dan gerust! +31 8 5130 5220.