Security audit

Internal Infrastructure Security Assessment

 

Met dit aanbod pakken we graag uit want dit is een absolute high level audit. We werken samen met consultants die héél hoog gecertificeerd zijn!

 

De consultants beschikken over volgende certificaten:

  • OSCP (Offensive Security Certified Professional)
  • GXPN (Exploit Researcher & advanced penetration tester)
  • ECSA (Certified Security Analyst)
  • CEH (Certified Ethical Hacker) certified

IN HET NIEUWS

Een drama dat vermeden kon worden:

"1000 werknemers bij Asco Zaventem nog twee dagen langer werkloos door hacking bedrijf"

SECURITY AUDIT

Wat houdt het in?

  • Verkenning en nazicht via publieke bronnen
  • Identificeren van kwetsbaarheden op het niveau van de infrastructuur
  • Penetration testing
  • Analyse en validatie van de kwetsbaarheden
  • Uitbuiting en data exfiltratie

We richten ons op aanvallen op netwerkniveau:

  • Segmentatie van de LAN
  • Onderscheppen van netwerkverkeer via ARP Spoofing en Man-In-The-Middle (MiTM)
  • Onderscheppen van netwerkverkeer via LLMNR en NBT-NS en MDNS Poisoning

 

Wie is klant?

 

Onze consultants hebben reeds opdrachten uitgevoerd voor de meeste grote banken, telecom operatoren en tal van overheidsinstellingen in België.

 

De penetration tests worden uitgevoerd op de meest uiteenlopende technologieën; web applicaties in allerlei talen en frameworks, WiFi, industriële systemen en IoT, embedded systemen, legacy systemen, ... 

 

Wilt u meer informatie en verduidelijking?

Laat het ons weten.

"Een onafhankelijke security audit, perfect voor grote bedrijven."

 

 

Aanpak penetration testing

 

Methodologie

Het gebruik van een degelijke methodologie staat garant voor een gestructureerde aanpak van het uitvoeren van security assessments. Het biedt als voordeel dat testen grondig gebeuren, herhaalbaar zijn en op een duidelijk manier gerapporteerd worden bij de klant. De aanpak is gebaseerd op open methodologieën, standaarden in onze industrie. De experten beschikken over de nodige certificaten en of hebben een uitgebreide ervaring opgebouwd doorheen hun loopbaan.

 

 

VERSCHILLENDE FASEN

 

Pre-project fase

Voor de start van het project worden een aantal praktische aspecten geregeld en wordt de nodige documentatie opgemaakt & de nodige toegangen tot systemen en applicaties geregeld.

 

Information gathering & enumeration

Aan de start van het project wordt alle technische en contextuele informatie verzameld over de targets in scope van de test. Het doel hiervan is om zoveel mogelijk online & offline informatie te verzamelen op actieve en passieve wijze, en deze te gebruiken tijdens de vulnerability assessment en exploitatie fase. De verzamelde informatie kan de attack vectors in kaart brengen zodat we ze kunnen testen.

 

Vulnerability identification

In deze fase worden de targets getest aan de hand van verschillende tools en technieken om zo veel mogelijk kwetsbaarheden te identificeren. Afhankelijk van de technologieën die gebruikt worden, zullen andere technieken gebruikt worden. Voor veel voorkomende technologieën bestaan er tools, voor minder bekende technologieën zal de focus eerder liggen op onderzoek naar de mogelijke attack vectors of gekende kwetsbaarheden.

 

Vulnerability analysis & Validation

Nadat we een maximum aan informatie verzameld hebben over de potentiële kwetsbaarheden, valideren we of deze kwetsbaarheden effectief uitgebuit kunnen worden in functie van de bestaande configuratie. Op basis daarvan gaan we testen of we toegang tot de targets kunnen krijgen, alsook tot de informatie die erop beschikbaar is. Deze taken kunnen op hun beurt tot nieuwe informatie leiden, die bijkomende kwetsbaarheden kunnen aantonen. In deze fase starten we ook met een analyse naar mogelijke oplossingen om de gevonden kwetsbaarheden op te lossen.

 

Post-exploitatie

In het geval van een effectieve ongeoorloofde toegang, zijn er een aantal post-exploitatie taken die zich aandienen. Dit kan bijvoorbeeld het zoeken naar interessante informatie zijn of het opzetten van een methode voor meer continue toegang voor zover dit in de voorafgaande spelregels is vastgelegd en toegelaten.

 

 

Documentatie

 

Het voornaamste doel van een penetration test is de oplevering van een duidelijk en begrijpbaar document waarin de kwetsbaarheden worden gedocumenteerd en uitgelegd. Het rapport zal een aantal strategieën en aanbevelingen aanreiken rond het oplossen van kwetsbaarheden om zo het risico voor uw organisatie te verlagen.

 

Vorm van rapporten

Het rapport zal de volgende informatie bevatten:

 

  • Een executive summary, die het high-level het security niveau uitlegt in niet-technische termen.
  • Een beschrijving van de opdracht (scope), de aanpak (methodologie) en het verloop van de opdracht
  • Een technische samenvatting waarin de kwetsbaarheden in grote lijnen worden uitgelegd.
  • Een overzicht van de kwetsbaarheden met een beschrijving, de exacte locatie, een impact score en aanbevelingen om de kwetsbaarheden op te lossen
  • Extra bewijzen van kwetsbaarheden, wanneer van toepassing.
  • Een overzicht van de gebruikte tools

Review van rapporten

Report review is een essentiële en vereiste stap om de kwaliteit van onze rapporten te garanderen. Het doel hiervan is om zeker te zijn dat alle afgeleverde rapporten beknopt, duidelijk en consistent zijn.

 

Rapporten worden door het team dat betrokken was opgesteld en nagelezen. Report reviews worden uitgevoerd door een peer security consultant die niet heeft meegewerkt aan het project. In het geval van een white-box security assessment wordt de review uitgevoerd samen met iemand die kennis heeft van het systeem. De peer moet zonder moeite uit het rapport kunnen begrijpen wat de issues betekenen, wat de impact is en hoe de klant deze kan oplossen.

 

Na de review en wanneer het rapport voldoet aan de standaarden, wordt deze uitgestuurd naar de klant.