Ethical hacking

Pentesting is een methode waarbij onderzoekers proberen de beveiligingsfuncties van een systeem te omzeilen of te doorbreken. De methodiek varieert sterk, afhankelijk van de specifieke beperkingen en het te beoordelen systeem.

Bij interne assessments worden verschillende vaardigheden, technieken en tools gebruikt om de beveiliging van de interne infrastructuur te testen. Een gebruikelijke oefening is het "From Zero to Hero" proof-of-concept waarin we beginnen zonder enige informatie of credentials en proberen te escaleren naar een high-privileged user (meestal een Domain Admin). 

Bij een assessment van de externe infrastructuur wordt de beveiliging van de externe perimeter van een bedrijf en de publieke blootstelling daaraan geëvalueerd. Typische tests omvatten internet footprinting, port scans, vulnerability scans en aanvullende handmatige testen/exploitatie.

Tijdens Wi-Fi assessments proberen we ongeautoriseerde toegang te krijgen tot de draadloze netwerken in het domein. De technieken kunnen variëren van pogingen om de pre-shared key (bijv. WPA) te bemachtigen/kraken tot het verleiden van mobiele gebruikers/apparaten om verbinding te maken met een malafide Wi-Fi-netwerk om inloggegevens te onderscheppen (bijv. WPA/Ent).

Bij het testen van webapplicaties en API's richt Orange Cyberdefense zich op het identificeren van de OWASP Top 10 problemen. De onderzoeker onderschept elk verzoek en elke respons. Interessante oproepen (vanuit het perspectief van de aanvaller) worden geïnspecteerd, gewijzigd en op verschillende manieren aangevallen om potentiële problemen op te sporen en kwetsbaarheden te benutten.

Mobiele assessments controleren zowel de mobiele app als de communicatie ervan. De mobiele app wordt ontleed en de configuratie en broncode worden geïnspecteerd. De mobiele app wordt ook getoetst aan de security best practices (bv. opslag van gevoelige gegevens). De OWASP Mobile Top 10 wordt gebruikt als belangrijkste kader.

Bij een IoT assessment worden verschillende aspecten van het apparaat of de setup getest. Afhankelijk van de scope kunnen de testen variëren tussen het beoordelen van de beveiliging van de hardware, de firmware, de backend(s) en de gebruikte protocollen. Als belangrijkste kader wordt de OWASP IoT Top 10 gebruikt.

Bij een theoretische audit wordt een organisatie (zelf) geaudit tegen de CIS Critical Security Controls. Dit is een bekend, maar zeer pragmatisch, cybersecurity framework dat voorheen bekend stond als de SANS Top 20.

• Rapportage van een grove vulnerability scan 
• Uitvoerige samenvatting 
• Volledig rapport (samenvatting + technisch rapport) 
• Presentatie 
• Kwaliteitsgarantie