Intern & black box

Pentest op basis van de zogenaamde ‘black box’ methode. De ethical hacker van Smarts heeft geen kennis van de interne infrastructuur van de organisatie. Door alleen ‘in te prikken’ op het interne netwerk van de organisatie wordt de infrastructuur aangevallen door systemen te scannen en op zoek te gaan naar kwetsbaarheden. Gevonden kwetsbaarheden worden misbruikt (exploited) om verder binnen de infrastructuur binnen te dringen. Ultieme doel van een interne pentest is het verkrijgen van de hoogst mogelijke rechten binnen een infrastructuur en aanverwante systemen. Enkele voorbeelden zijn: Domain Admin in Active Directory, Supervisor rechten in een primaire- of P&O-applicatie. Na uitvoeren van de pentest wordt er rapportage opgesteld. Deze rapportage bevat de volgende onderdelen: 1. Omschrijving van de gevonden kwetsbaarheid. 2. Risico indicatie van de gevonden kwetsbaarheid op basis van de OWASP top 10 methode (kans, impact, risico). 3. Wanneer de kwetsbaarheid daadwerkelijk misbruikt wordt, inzicht welke data bemachtigd is. 4. Aanbeveling om de kwetsbaarheid weg te nemen of zoveel mogelijk te minimaliseren. Afsluitend wordt de rapportage aan de organisatie gepresenteerd en de aanbevelingen doorgenomen. Uiteraard kan Smarts de organisatie helpen om de gevonden kwetsbaarheden te mitigeren. Doorlooptijd van ongeveer 2 weken.

Deliverables:

  • Scope pentest afgesproken
  • Onsite black box interne pentest
  • Opstellen rapportage
  • Presenteren en bespreken van bevindingen en aanbevelingen
  • Optioneel: Assisteren met doorvoeren voorgestelde mitigerende maatregelen
  •  Optioneel: Extra pentest om vast te stellen dat de gemitigeerde kwetsbaarheden niet meer zijn te misbruiken.