Skip to content
Pentest

Pentesten

Onafhankelijk inzicht in de huidige staat van uw IT beveiliging!

Infrastructuur

Beoordeelt de beveiliging van netwerken, servers en systemen om kwetsbaarheden in de IT-infrastructuur te identificeren.

Infrastructuur - White

Webapplicatie

Test op kwetsbaarheden zoals SQL-injecties, XSS, zwakke authenticatie en overige punten uit de OWASP Top 10

Web applicatie - wit

Red Teaming

Een gesimuleerde aanval waarbij de weerbaarheid wordt getest door echte aanvallers na te bootsen en zwakke plekken in zowel technologie als menselijk handelen bloot te leggen.

Red Team - White

Product Security

Testen van niet-IoT apparaten. Deze kunnen kwetsbaar zijn via seriële verbindingen, RF-communicatie, offline opslag en industriële protocollen.

Product Security - White

WiFi

Controleert draadloze netwerken op beveiligingslekken, zoals zwakke encryptie of ongeautoriseerde toegang.

wifi-White

OT

Richt zich op Operationele Technologie (OT), zoals industriële controlesystemen, om productieprocessen te beschermen.

OT- White

IoT

Test de beveiliging van slimme apparaten (Internet of Things) om ongeautoriseerde toegang en datalekken te voorkomen.

IOT - White

Threat Modeling

Helpt ontwikkelaars kwetsbaarheden vroegtijdig te herkennen in systemen en applicaties.

Threat modeling - White

Infrastructuur

Infrastructuur - White

Een infrastructuur pentest richt zich op het testen van de beveiliging van netwerken, servers en systemen. Het doel is om kwetsbaarheden te identificeren die aanvallers kunnen uitbuiten, zowel vanuit interne als externe perspectieven. Hieronder volgen de belangrijkste technische aspecten van een infrastructuur pentest:

  • Netwerkscans: Identificeren van open poorten en kwetsbare services die aanvallers kunnen misbruiken om toegang te krijgen.
  • Penetratietesten: Simuleren van aanvallen op netwerken, servers en systemen om misconfiguraties of zwakke plekken in de beveiliging te ontdekken.
  • Externe en interne tests: Beoordelen van de beveiliging van systemen zowel van buitenaf (internet) als binnen het netwerk van de organisatie.
  • Wachtwoordbeveiliging: Testen van de sterkte van wachtwoorden door brute-force of password spraying-aanvallen te simuleren.
  • Patching en versiecontrole: Zoeken naar verouderde software en systemen die niet zijn gepatcht tegen bekende kwetsbaarheden.
  • Misconfiguraties: Evalueren van systeeminstellingen en toegangsrechten om onterecht toegang tot gevoelige gegevens te voorkomen.
  • Endpointbeveiliging: Controleren van werkstations, servers en mobiele apparaten op beveiligingslekken of ontbrekende patches.
Web applicatie - wit

Webapplicatie

Een webapplicatie pentest richt zich op het identificeren van kwetsbaarheden in webapplicaties die hackers kunnen misbruiken. Dit kan betrekking hebben op de applicatiecode, de serverconfiguratie en de communicatie tussen de client en de server. Hieronder volgen de belangrijkste technische aspecten van een webapplicatie pentest:

  • SQL-injecties: Testen of een applicatie gevoelig is voor het invoeren van kwaadaardige SQL-query’s die toegang geven tot databases of gevoelige gegevens.
  • Cross-site scripting (XSS): Controleren of de applicatie gebruikersinvoer niet goed filtert, wat kan leiden tot de uitvoering van kwaadaardige scripts in de browser van een andere gebruiker.
  • Authenticatie- en sessiebeveiliging: Beoordelen van de sterkte van inlogsystemen, wachtwoordbeheer en de veiligheid van sessies, zoals cookies en tokenbeheer.
  • Cross-site request forgery (CSRF): Testen of de applicatie kwetsbaar is voor aanvallen waarbij een gebruiker onbedoeld een actie uitvoert in de applicatie door misbruik van hun sessie.
  • Toegangscontrole: Testen of gebruikers alleen toegang hebben tot de data en functionaliteiten waarvoor ze gemachtigd zijn, door middel van privilege escalation en path traversal-aanvallen.
  • Configuratie- en versiecontrole: Controleren of de webserver, applicatie en frameworks goed zijn geconfigureerd en geen verouderde of kwetsbare versies gebruiken.
  • API-beveiliging: Testen van RESTful of SOAP-API’s op kwetsbaarheden zoals onvoldoende authenticatie, gegevenslekken of misconfiguraties.
  • Encryptie: Beoordelen of gevoelige gegevens, zoals wachtwoorden en persoonlijke informatie, goed versleuteld worden tijdens verzending (bijv. via HTTPS) en opslag.
  • OWASP top 10: testen op de tien meest voorkomende kwetsbaarheden in webapplicaties (waaronder hierboven enkele al reeds benoemd).

Red Teaming

Red Team - White

Red Teaming is een geavanceerde benadering van pentesting waarbij ethische hackers de verdediging van een organisatie testen door middel van gesimuleerde, realistische aanvallen. Hierbij worden zowel technologische systemen als menselijke zwaktes misbruikt om de algehele beveiligingsmaatregelen te evalueren. Hieronder volgen de belangrijkste technische aspecten van Red Teaming:

  • Social engineering: Simuleren van phishing-aanvallen, valse telefoongesprekken en andere technieken om medewerkers te misleiden en toegang te krijgen tot systemen.
  • Netwerkpenetratie: Infiltreren in netwerken door gebruik te maken van zwakke plekken zoals open poorten, misconfiguraties of onveilige protocollen.
  • Exploiteren van kwetsbaarheden: Het gebruik van bestaande kwetsbaarheden in systemen, software of hardware om door te dringen in netwerken en applicaties.
  • Fysieke infiltratie: Pogingen om fysieke beveiligingsmaatregelen te omzeilen, bijvoorbeeld door ongeautoriseerde toegang te verkrijgen tot kantoren of serverruimtes.
  • Privilege escalation: Het verhogen van toegangsniveaus binnen het systeem om meer controle te verkrijgen en gevoelige gegevens te benaderen.
  • Lateral movement: Verplaatsen binnen een netwerk door verschillende systemen aan te vallen en toegang te krijgen tot strategische doelwitten, zoals servers of databases.
  • Simuleren van APT-aanvallen (Advanced Persistent Threats): Langdurige, verborgen aanvallen die zich langzaam verspreiden binnen een organisatie, met als doel data te stelen of systemen te compromitteren.
  • Red teaming tools en technieken: Gebruik van gespecialiseerde software en technieken, zoals met tools voor het doorzoeken van netwerkbeveiliging, brute-force aanvallen en het omzeilen van beveiligingsmaatregelen.
  • Doorlooptijd: Red Teaming kent een langere doorlooptijd dan een reguliere pentest, omdat een realistische cyber aanval gesimuleerd wordt. Dit kan een doorlooptijd hebben van een aantal weken tot een aantal maanden.
Product Security - White

Product Security

Niet alle apparaten communiceren via het internet, maar kunnen toch kwetsbaar zijn. Denk aan embedded systemen die via gesloten netwerken, fysieke interfaces of draadloze protocollen werken. Pentesten is essentieel om deze systemen te beveiligen.

Aanvalsoppervlak

Niet-IoT apparaten communiceren via:

  • Seriële verbindingen (UART, SPI, I2C)
  • RF-communicatie (Zigbee, Bluetooth, NFC, RFID)
  • Offline dataopslag (USB, SD-kaarten)
  • Industriële protocollen (CAN-bus, Modbus)


Pentesting methoden

  • 1.Fysieke toegangstesten: analyse van debugpoorten, reverse engineering en firmware-extractie.
  • 2.Protocolanalyse: sniffen en manipuleren van communicatieprotocollen.
  • 3.Firmware en software beoordeling: statische en dynamische analyse, identificatie van kwetsbaarheden.
  • 4.Data manipulatie: toegang tot opslag, manipuleren van configuratiebestanden.
  • 5.Supply chain beoordeling: validatie van beveiligingsmechanismen en hardware-integriteit.

WiFi

wifi-White

Een WIFI pentest richt zich op de beveiliging van draadloze netwerken om zwakke plekken te identificeren die kunnen worden misbruikt voor ongeautoriseerde toegang. Hieronder volgen de belangrijkste technische aspecten van een WIFI pentest:

  • WPA/WPA2 cracking: Testen van de sterkte van encryptie door gebruik te maken van aanvallen zoals dictionary- en brute-force aanvallen op het WPA2-beveiligingsprotocol.
  • Rogue access points: Invoeren van nep-routers om verbinding te maken met het netwerk van gebruikers en zo gevoelige gegevens of toegang tot het netwerk te verkrijgen.
  • Man-in-themiddle aanvallen: Afluisteren en mogelijk wijzigen van het verkeer tussen de client en de router om gevoelige informatie te onderscheppen.
  • WIFI signalen verstoren: Simuleren van aanvallen die het netwerk kunnen verstoren of de werking kunnen beïnvloeden, zoals jamming of spoofing.
OT- White

OT

OT (Operationele Technologie) pentests richten zich op het beveiligen van industriële controle- en automatiseringssystemen die vaak in kritieke infrastructuren worden gebruikt. Hieronder volgen de belangrijkste technische aspecten van een OT pentest:

  • SCADA-systeembeveiliging: Testen van de beveiliging van SCADA (Supervisory Control and Data Acquisition) systemen die industriële processen bewaken en besturen.
  • PLC-hacking: Controleren van Programmeerbare Logische Controllers (PLC’s) op kwetsbaarheden die kunnen worden misbruikt om machines of productieprocessen te manipuleren.
  • Communicatieprotocolanalyse: Onderzoeken van communicatie tussen OT-systemen om zwakke punten in protocollen zoals Modbus, OPC en DNP3 te identificeren.
  • Fysieke toegang: Proberen toegang te krijgen tot OT-apparaten en netwerken via fysieke middelen, zoals het manipuleren van systemen op de werkvloer.
  • Externe netwerkverbindingen: Beoordelen van de veiligheid van netwerken die OT-systemen verbinden met externe netwerken, zoals internet of bedrijfsnetwerken en het controleren op mogelijke aanvalspunten.

IoT

IOT - White

IoT (Internet of Things) pentests richten zich op de beveiliging van verbonden apparaten die communiceren via het internet. Hieronder volgen de belangrijkste technische aspecten van een IoT pentest:

  • Kwetsbaarheden in IoT-apparaten: Testen van IoT-apparaten op zwakke plekken zoals onversleutelde communicatie, zwakke wachtwoorden of kwetsbare software.
  • Fysieke toegang tot apparaten: Proberen fysieke toegang te krijgen tot IoT-apparaten om gevoelige data te onderscheppen of de apparaten te manipuleren.
  • Inbraak in communicatie: Afluisteren of manipuleren van de communicatie tussen IoT-apparaten, zoals via onversleutelde verbindingen of kwetsbare protocollen.
  • Cloudverbindingen: Beoordelen van de beveiliging van cloudservices die IoT-apparaten ondersteunen.
  • Beveiliging van firmware: Analyseren van de firmware op IoT-apparaten om ongeautoriseerde toegang of wijzigingen aan het apparaat mogelijk te maken.


ITseqr kan IOT pentesten uitvoeren op:

  • Consumenten producten
  • Industriële producten
  • Medische apparatuur
  • Netwerk apparatuur
  • Automotive
Threat modeling - White

Threat modeling

Threat modeling identificeert en analyseert potentiële bedreigingen in systemen en applicaties. Het helpt kwetsbaarheden te verminderen en beveiligingsmaatregelen te implementeren.

Vroegtijdige identificatie van bedreigingen verlaagt kosten en verhoogt weerbaarheid. Kernprincipes zijn:

  • 1. Assets identificeren: wat moet beschermd worden?
  • 2. Bedreigingen in kaart brengen: welke risico’s zijn relevant?
  • 3. Risico’s beoordelen: impact en waarschijnlijkheid analyseren.
  • 4. Beveiligingsmaatregelen implementeren: controlemechanismen toepassen.
  • 5.Continue verbetering: regelmatig herzien en aanpassen.



Methoden

ITseqr maakt gebruik van verschillende methoden en frameworks voor threat modeling:

  • STRIDE: een model om specifieke bedreigingen te identificeren.
  • DREAD: een risicobeoordelingsmodel om de ernst van bedreigingen te bepalen.
  • PASTA: een risico-gebaseerde methodologie die de aanvaller centraal stelt.
  • OCTAVE: een framework ontwikkeld voor strategische dreigingsmodellering.
Geïnteresseerd?