Met pentesting komen kwetsbaarheden naar boven die je met alleen vulnerability scanning niet vangt. De uitdaging daarbij is om in de huid van de hacker te kruipen: welke middelen heeft een aanvaller tot zijn beschikking om kwetsbaarheden in de organisatie uit te buiten? Daar zit doorgaans echter een beperking bij: pentesters kunnen wel denken als een hacker, maar hebben niet dezelfde toegang tot data die hackers hebben.
De uitdaging
Het uitvoeren van alleen vulnerability scans is niet voldoende: als je als organisatie echt je eigen veiligheid wil laten testen is het van belang om ook op regelmatige basis een penetration test uit te laten voeren: een echt persoon die probeert nog niet bekende kwetsbaarheden bloot te leggen.
Om te werken als een hacker dien je natuurlijk wel dezelfde informatiepositie te hebben. Het punt is dat de gegevens die hackers gebruiken vaak op afgesloten en weggestopte fora op het dark web staan. Door dark web gegevens binnen te halen werk je de informatie-achterstand weg en start je als pentester op hetzelfde kennisniveau.
Kijk als een hacker
Pentesting zonder dark web data is beginnen op een achterstand. In hun aanvallen hebben hackers wel beschikking over informatie over gecompromitteerde data, accounts & apparaten. Om als pentester het loginproces goed te testen heb je deze data nodig.
Met gelekte wachtwoorden
Er zijn tientallen miljarden wachtwoorden gelekt op het dark web. Welke van deze wachtwoorden kunnen gebruikt worden om de eerste stap van je MFA te omzeilen? En kan met MFA Fatigue de volgende stap ook bereikt worden? Of kun je met credential stuffing wellicht toegang krijgen tot een derde dienst met vertrouwelijke informatie, zonder dat je überhaupt binnen hoeft te komen bij de organisatie?
En gecompromit-teerde sessies
Voor een hacker zijn gelekte wachtwoorden van zilver, maar gehackte apparaten van goud. Niet alleen kunnen aanvallers bij de wachtwoorden van alle gecompromitteerde sessies, ook zijn vaak de session tokens verkregen. Zijn er apparaten in relatie tot jouw organisatie gehackt? En zo ja, zijn er session tokens verkregen die nog misbruikt kunnen worden om toegang te krijgen?
Herpak de informatie-voorsprong
Zet de eerste stap om je dark web exposure in kaart te brengen: vul nu dit contactformulier in.
Contact
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
