Neem contact op

Onafhankelijk inzicht in de huidige staat van uw IT beveiliging!

Pentesten

Een pentest (penetratietest) simuleert een gerichte aanval op uw systemen om kwetsbaarheden bloot te leggen, voordat kwaadwillenden dat doen. ITseqr test uw digitale weerbaarheid grondig en levert heldere rapportages met concrete adviezen. Zo weet u precies waar u staat – en wat u kunt verbeteren.
CCV keurmerk Pentesten

Pentesten volgens het CCV keurmerk Pentesten

Bij ITseqr voeren we al onze pentesten uit volgens de richtlijnen van het CCV keurmerk pentesten.

Dit garandeert een gestructureerde, onafhankelijke en reproduceerbare aanpak, uitgevoerd door gecertificeerde specialisten en volgens een erkend kwaliteitskader.

Onze aanpak in vier kernpunten:

1. Gestructureerde voorbereiding

  • Heldere intake met afbakening van doel, scope en methodiek
  • Keuze uit blackbox, greybox of whitebox testing
  • Risicobeheersing vooraf afgestemd en geborgd

2. Onafhankelijke en deskundige uitvoering

  • Volledig onafhankelijke testers, geen belangenverstrengeling
  • Pentesters met geavanceerde certificeringen zoals:
    • OSCP (Offensive Security Certified Professional)
    • OSWA (Offensive Security Web Assessor)
    • OSCE (Offensive Security Certified Expert)
    • En aanvullende gespecialiseerde certificeringen in netwerk-, infrastructuur- en applicatiebeveiliging\
3. Transparante en bruikbare rapportage

  • Duidelijke bevindingen, gesorteerd op impact en risico
  • Concreet advies per kwetsbaarheid
  • Geschikt voor interne opvolging én externe verantwoording (bijv. audits, toezichthouders)
4. Zorgvuldige omgang met gegevens

  • Versleutelde opslag en verwerking van testdata
  • Strikte protocollen voor dataverwijdering na afronding
  • Altijd in lijn met de geldende privacy- en beveiligingsrichtlijnen
Neem contact op

Infrastructuur

Beoordeelt de beveiliging van netwerken, servers en systemen om kwetsbaarheden in de IT-infrastructuur te identificeren.

Webapplicatie

Test op kwetsbaarheden zoals SQL-injecties, XSS, zwakke authenticatie en overige punten uit de OWASP Top 10

Red Teaming

Gesimuleerde aanval die de weerbaarheid test door kwetsbaarheden in technologie en menselijk handelen zichtbaar te maken.

Product Security

Testen van niet-IoT apparaten op kwetsbaarheden in seriële verbindingen, RF, offline opslag en industriële protocollen.

WiFi

Controleert draadloze netwerken op beveiligingslekken, zoals zwakke encryptie of ongeautoriseerde toegang.

OT

Richt zich op Operationele Technologie (OT), zoals industriële controlesystemen, om productieprocessen te beschermen.

IoT

Test de beveiliging van slimme apparaten (Internet of Things) om ongeautoriseerde toegang en datalekken te voorkomen.

Threat Modeling

Helpt ontwikkelaars kwetsbaarheden vroegtijdig te herkennen in systemen en applicaties.

Pentesten volgens het CCV keurmerk Pentesten

Pentesten volgens het CCV keurmerk Pentesten

Bij ITseqr voeren we al onze pentesten uit volgens de richtlijnen van het CCV keurmerk pentesten.

Infrastructuur

Infrastructuur

Een infrastructuur pentest richt zich op het testen van de beveiliging van netwerken, servers en systemen. Het doel is om kwetsbaarheden te identificeren die aanvallers kunnen uitbuiten, zowel vanuit interne als externe perspectieven. Hieronder volgen de belangrijkste technische aspecten van een infrastructuur pentest:

  • Netwerkscans: Identificeren van open poorten en kwetsbare services die aanvallers kunnen misbruiken om toegang te krijgen.
  • Penetratietesten: Simuleren van aanvallen op netwerken, servers en systemen om misconfiguraties of zwakke plekken in de beveiliging te ontdekken.
  • Externe en interne tests: Beoordelen van de beveiliging van systemen zowel van buitenaf (internet) als binnen het netwerk van de organisatie.
  • Wachtwoordbeveiliging: Testen van de sterkte van wachtwoorden door brute-force of password spraying-aanvallen te simuleren.
  • Patching en versiecontrole: Zoeken naar verouderde software en systemen die niet zijn gepatcht tegen bekende kwetsbaarheden.
  • Misconfiguraties: Evalueren van systeeminstellingen en toegangsrechten om onterecht toegang tot gevoelige gegevens te voorkomen.
  • Endpointbeveiliging: Controleren van werkstations, servers en mobiele apparaten op beveiligingslekken of ontbrekende patches.
Webapplicatie

Een webapplicatie pentest richt zich op het identificeren van kwetsbaarheden in webapplicaties die hackers kunnen misbruiken. Dit kan betrekking hebben op de applicatiecode, de serverconfiguratie en de communicatie tussen de client en de server. Hieronder volgen de belangrijkste technische aspecten van een webapplicatie pentest:

  • SQL-injecties: Testen of een applicatie gevoelig is voor het invoeren van kwaadaardige SQL-query’s die toegang geven tot databases of gevoelige gegevens.
  • Cross-site scripting (XSS): Controleren of de applicatie gebruikersinvoer niet goed filtert, wat kan leiden tot de uitvoering van kwaadaardige scripts in de browser van een andere gebruiker.
  • Authenticatie- en sessiebeveiliging: Beoordelen van de sterkte van inlogsystemen, wachtwoordbeheer en de veiligheid van sessies, zoals cookies en tokenbeheer.
  • Cross-site request forgery (CSRF): Testen of de applicatie kwetsbaar is voor aanvallen waarbij een gebruiker onbedoeld een actie uitvoert in de applicatie door misbruik van hun sessie.
  • Toegangscontrole: Testen of gebruikers alleen toegang hebben tot de data en functionaliteiten waarvoor ze gemachtigd zijn, door middel van privilege escalation en path traversal-aanvallen.
  • Configuratie- en versiecontrole: Controleren of de webserver, applicatie en frameworks goed zijn geconfigureerd en geen verouderde of kwetsbare versies gebruiken.
  • API-beveiliging: Testen van RESTful of SOAP-API’s op kwetsbaarheden zoals onvoldoende authenticatie, gegevenslekken of misconfiguraties.
  • Encryptie: Beoordelen of gevoelige gegevens, zoals wachtwoorden en persoonlijke informatie, goed versleuteld worden tijdens verzending (bijv. via HTTPS) en opslag.
  • OWASP top 10: testen op de tien meest voorkomende kwetsbaarheden in webapplicaties (waaronder hierboven enkele al reeds benoemd).
Webapplicatie
Red Teaming

Red Teaming

Red Teaming is een geavanceerde benadering van pentesting waarbij ethische hackers de verdediging van een organisatie testen door middel van gesimuleerde, realistische aanvallen. Hierbij worden zowel technologische systemen als menselijke zwaktes misbruikt om de algehele beveiligingsmaatregelen te evalueren. Hieronder volgen de belangrijkste technische aspecten van Red Teaming:

  • Social engineering: Simuleren van phishing-aanvallen, valse telefoongesprekken en andere technieken om medewerkers te misleiden en toegang te krijgen tot systemen.
  • Netwerkpenetratie: Infiltreren in netwerken door gebruik te maken van zwakke plekken zoals open poorten, misconfiguraties of onveilige protocollen.
  • Exploiteren van kwetsbaarheden: Het gebruik van bestaande kwetsbaarheden in systemen, software of hardware om door te dringen in netwerken en applicaties.
  • Fysieke infiltratie: Pogingen om fysieke beveiligingsmaatregelen te omzeilen, bijvoorbeeld door ongeautoriseerde toegang te verkrijgen tot kantoren of serverruimtes.
  • Privilege escalation: Het verhogen van toegangsniveaus binnen het systeem om meer controle te verkrijgen en gevoelige gegevens te benaderen.
  • Lateral movement: Verplaatsen binnen een netwerk door verschillende systemen aan te vallen en toegang te krijgen tot strategische doelwitten, zoals servers of databases.
  • Simuleren van APT-aanvallen (Advanced Persistent Threats): Langdurige, verborgen aanvallen die zich langzaam verspreiden binnen een organisatie, met als doel data te stelen of systemen te compromitteren.
  • Red teaming tools en technieken: Gebruik van gespecialiseerde software en technieken, zoals met tools voor het doorzoeken van netwerkbeveiliging, brute-force aanvallen en het omzeilen van beveiligingsmaatregelen.
  • Doorlooptijd: Red Teaming kent een langere doorlooptijd dan een reguliere pentest, omdat een realistische cyber aanval gesimuleerd wordt. Dit kan een doorlooptijd hebben van een aantal weken tot een aantal maanden.

Product security

Niet alle apparaten communiceren via het internet, maar kunnen toch kwetsbaar zijn. Denk aan embedded systemen die via gesloten netwerken, fysieke interfaces of draadloze protocollen werken. Pentesten is essentieel om deze systemen te beveiligen.

Aanvalsoppervlak

Niet-IoT apparaten communiceren via:

  • Seriële verbindingen (UART, SPI, I2C)
  • RF-communicatie (Zigbee, Bluetooth, NFC, RFID)
  • Offline dataopslag (USB, SD-kaarten)
  • Industriële protocollen (CAN-bus, Modbus)

Pentesting methoden

  • 1.Fysieke toegangstesten: analyse van debugpoorten, reverse engineering en firmware-extractie.
  • 2.Protocolanalyse: sniffen en manipuleren van communicatieprotocollen.
  • 3.Firmware en software beoordeling: statische en dynamische analyse, identificatie van kwetsbaarheden.
  • 4.Data manipulatie: toegang tot opslag, manipuleren van configuratiebestanden.
  • 5.Supply chain beoordeling: validatie van beveiligingsmechanismen en hardware-integriteit.
Product Security
Wifi
Wifi

Een WIFI pentest richt zich op de beveiliging van draadloze netwerken om zwakke plekken te identificeren die kunnen worden misbruikt voor ongeautoriseerde toegang. Hieronder volgen de belangrijkste technische aspecten van een WIFI pentest:

  • WPA/WPA2 cracking: Testen van de sterkte van encryptie door gebruik te maken van aanvallen zoals dictionary- en brute-force aanvallen op het WPA2-beveiligingsprotocol.
  • Rogue access points: Invoeren van nep-routers om verbinding te maken met het netwerk van gebruikers en zo gevoelige gegevens of toegang tot het netwerk te verkrijgen.
  • Man-in-themiddle aanvallen: Afluisteren en mogelijk wijzigen van het verkeer tussen de client en de router om gevoelige informatie te onderscheppen.
  • WIFI signalen verstoren: Simuleren van aanvallen die het netwerk kunnen verstoren of de werking kunnen beïnvloeden, zoals jamming of spoofing.
OT

OT (Operationele Technologie) pentests richten zich op het beveiligen van industriële controle- en automatiseringssystemen die vaak in kritieke infrastructuren worden gebruikt. Hieronder volgen de belangrijkste technische aspecten van een OT pentest:

  • SCADA-systeembeveiliging: Testen van de beveiliging van SCADA (Supervisory Control and Data Acquisition) systemen die industriële processen bewaken en besturen.
  • PLC-hacking: Controleren van Programmeerbare Logische Controllers (PLC’s) op kwetsbaarheden die kunnen worden misbruikt om machines of productieprocessen te manipuleren.
  • Communicatieprotocolanalyse: Onderzoeken van communicatie tussen OT-systemen om zwakke punten in protocollen zoals Modbus, OPC en DNP3 te identificeren.
  • Fysieke toegang: Proberen toegang te krijgen tot OT-apparaten en netwerken via fysieke middelen, zoals het manipuleren van systemen op de werkvloer.
  • Externe netwerkverbindingen: Beoordelen van de veiligheid van netwerken die OT-systemen verbinden met externe netwerken, zoals internet of bedrijfsnetwerken en het controleren op mogelijke aanvalspunten.
OT
IoT
IoT

IoT (Internet of Things) pentests richten zich op de beveiliging van verbonden apparaten die communiceren via het internet. Hieronder volgen de belangrijkste technische aspecten van een IoT pentest:

  • Kwetsbaarheden in IoT-apparaten: Testen van IoT-apparaten op zwakke plekken zoals onversleutelde communicatie, zwakke wachtwoorden of kwetsbare software.
  • Fysieke toegang tot apparaten: Proberen fysieke toegang te krijgen tot IoT-apparaten om gevoelige data te onderscheppen of de apparaten te manipuleren.
  • Inbraak in communicatie: Afluisteren of manipuleren van de communicatie tussen IoT-apparaten, zoals via onversleutelde verbindingen of kwetsbare protocollen.
  • Cloudverbindingen: Beoordelen van de beveiliging van cloudservices die IoT-apparaten ondersteunen.
  • Beveiliging van firmware: Analyseren van de firmware op IoT-apparaten om ongeautoriseerde toegang of wijzigingen aan het apparaat mogelijk te maken.

ITseqr kan IOT pentesten uitvoeren op:

  • Consumenten producten
  • Industriële producten
  • Medische apparatuur
  • Netwerk apparatuur
  • Automotive
Threat modeling

Threat modeling identificeert en analyseert potentiële bedreigingen in systemen en applicaties. Het helpt kwetsbaarheden te verminderen en beveiligingsmaatregelen te implementeren.

Vroegtijdige identificatie van bedreigingen verlaagt kosten en verhoogt weerbaarheid. Kernprincipes zijn:

  • 1. Assets identificeren: wat moet beschermd worden?
  • 2. Bedreigingen in kaart brengen: welke risico’s zijn relevant?
  • 3. Risico’s beoordelen: impact en waarschijnlijkheid analyseren.
  • 4. Beveiligingsmaatregelen implementeren: controlemechanismen toepassen.
  • 5.Continue verbetering: regelmatig herzien en aanpassen.

Methoden

ITseqr maakt gebruik van verschillende methoden en frameworks voor threat modeling:

  • STRIDE: een model om specifieke bedreigingen te identificeren.
  • DREAD: een risicobeoordelingsmodel om de ernst van bedreigingen te bepalen.
  • PASTA: een risico-gebaseerde methodologie die de aanvaller centraal stelt.
  • OCTAVE: een framework ontwikkeld voor strategische dreigingsmodellering.
Threat modeling
Sterke samenwerkingen

Een greep uit onze klanten

Hulp nodig?

Neem contact op!

Daniel Claus

Daniel Claus

+31 (0) 6 2160 5821
[email protected]

Dennis Kuis

Dennis Kuis

+31 (0) 6 5050 7073
[email protected]

Randstad

Ambachtweg 1
2841 MA Moordrecht

Limburg

Snellius 1
6422 RM Heerlen

Duitsland

Snellius 11
52072 Aken

Laten we samen uw IT security verder brengen!

ITseqr

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.