Vulnerability-test

Voordelen

  • PaSS (Pro-active Security Strategy) is het Security gedachtegoed van Sogeti waarin centraal staat dat u als klant “In Control” bent.
  • Deze service is inclusief state of the art tooling, maar niet primair, dat wil zeggen Sogeti gaat verder dan inzet van tooling alleen.
  • Sogeti biedt de service aan tegen een vaste prijs.
  • Sogeti Security kennis is geborgd in het Centre of Excellence.
  • Bewezen diensten en aanpak bieden een kwalitatief goed eindproduct.
  • U ontvangt een gefundeerd inzicht in het veiligheidsniveau van uw product in een uitgebreide rapportage met aanbevelingen ter verbetering.
  • Sogeti biedt de mogelijkheid om vooraf inzicht te hebben in het op te leveren rapport.
  • Door de gehanteerde aanpak is de Vulnerability-test ook in te zetten voor het onderzoeken van Mobile systemen (Android, Apple, Windows, etc.) of SMART devices (systemen met embedded software zoals slimme meters of smart tv’s).

Omschrijving service

U bent zich bewust van de afhankelijkheid van ICT voor de continuïteit van uw organisatie en van de gevoeligheid van de aan u toevertrouwde informatie. U heeft in het kader van informatiebeveiliging behoefte aan een security onderzoek.

Onze oplossing
Sogeti voert een security onderzoek uit in de vorm van een Vulnerability-test. Tijdens deze security test wordt aangetoond of uw systeem kwetsbaarheden bevat die kunnen leiden tot onacceptabele risico’s. Met een Vulnerability-test wordt op een “non-intrusieve” wijze aangetoond hoe kwetsbaar de applicatie, software en/of infrastructuur van uw organisatie is voor een hackaanval. De wijze van de test (blackbox / greybox / whitebox) bepalen we in overleg tijdens het opdracht intake gesprek.

Blackbox
Met een Black Box Vulnerability-test wordt op een “non-intrusieve” het te onderzoeken object daadwerkelijk gezien als een “Black Box”. De Security experts proberen zonder aanvullende informatie het testdoel te bereiken. Een Black Box test kan vergeleken worden met een echte aanval, zoals digitale inbrekers (hackers) die zouden uitvoeren.
 
Greybox
Met de Grey Box Vulnerability-test wordt op een “non-intrusieve” wijze aangetoond hoe kwetsbaar uw applicatie, software en/of infrastructuur is voor een hack aanval. De security testers beschikken vooraf over documentatie en gebruikersaccounts waarmee de aanvalsscenario’s in de voorbereiding gericht opgesteld worden. Door vooraf inhoudelijke informatie beschikbaar te stellen aan de security experts wordt binnen de gestelde tijd meer diepgang bereikt.
 
Whitebox
Met een White Box Vulnerability-test wordt op een “non-intrusieve” wijze aangetoond hoe kwetsbaar uw applicatie, software en/of infrastructuur is voor een hack aanval. De security testers beschikken vooraf over documentatie, gebruikersaccounts en de broncode van het te onderzoeken object. Hiermee heeft de security expert alle informatie tot zijn beschikking om zwakheden te lokaliseren. Naast het nauwkeurig bepalen van zwakheden kan ook de oorzaak van een zwakheid exact worden aangewezen.

Non-intrusief wil zeggen dat Sogeti kwetsbaarheden duidt, beschrijft, classificeert naar prioriteit en voorziet van mogelijke tegenmaatregelen maar niet uitnut. Daar waar de Security Specialisten vermoeden dat een kwetsbaarheid verder onderzocht moet worden, en het onderzoek dus intrusief wordt, wordt dit met u besproken. Deze manier van security testen past erg goed bij het testen van een productieomgeving.
 
Beste en hoogst gecertificeerde ervaren hackers
De Vulnerability-test wordt uitgevoerd door gecertificeerde ethische hackers binnen het Security Operations Center (SOC) van Sogeti. Onze Security Experts zijn actief lid in nationale en internationale security communities zoals OWASP (Open Web Application Security Project) en ALT-S. Sogeti speelt hierbinnen een actieve rol bij de verdere ontwikkeling van standaarden op gebied van het vinden, voorkomen en bestrijden van onveilige software. Wij zijn als geen ander in staat om Security onderzoeken uit te voeren en uw ICT landschap te testen op de nieuwste en bekendste exploits en penetratiemogelijkheden.
 
Geen verrassingen
Wij begrijpen dat een security test impact kan hebben op de dagelijkse operatie. Om de uitvoering zo soepel mogelijk te laten verlopen zorgen wij voor aanvang van de tests dat de juiste betrokkenen geïnformeerd zijn en dat er een duidelijke afstemming is over wat wij, wanneer en op welke wijze voor u gaan doen.
 
Samen voorkomen we op deze manier onnodige productieverstoringen.

Activiteiten

De Vulnerability-test wordt projectmatig uitgevoerd en bestaat uit een fase projectvoorbereiding gevolgd door het daadwerkelijk uitvoeren van de test. De test wordt afgesloten met een rapportage en, na akkoord, het opschonen van het projectdossier.

Fase 1: Projectvoorbereiding
Tijdens de projectvoorbereiding wordt de basis voor het project gelegd. De projectvoorbereiding omvat de volgende activiteiten:

  • Intake op de opdracht; operationele afspraken maken.
  • Scope afbakening.
  • Verificatie van randvoorwaarden zoals aanwezigheid van een ondertekende vrijwaringverklaring en toegang tot het testobject.

Fase 2: Vulnerability test
Het daadwerkelijk uivoeren van een test kent een vaste volgorde qua activiteiten, startende met het verzamelen van zo veel mogelijk informatie gevolgd door het uitvoeren van tests.

Informatie verzamelen
De eerste stap in een Vulnerability-test is het verzamelen van zoveel mogelijk informatie over uw organisatie en het te onderzoeken onderwerp. Hierbij wordt onder andere gezocht naar informatie over medewerkers, ICT- systemen, bedrijfsprocessen, jargon en de structuur van de organisatie. De security specialisten maken voor deze oriënterende stap naast de opgeleverde documentatie onder andere gebruik van social media, internet zoekmachines, gespecialiseerde en hacker resources. Ook netwerk scan tooling wordt tijdens deze stap ingezet.

Alle verzamelde informatie wordt vervolgens verwerkt tot een blauwdruk van de organisatie, de infrastructuur en het applicatielandschap. Op basis van deze blauwdruk wordt bepaald welke mogelijke testscenario’s in scope van de opdracht zijn.

Test uitvoering
Tijdens de tweede stap worden de mogelijke testscenario’s binnen scope van de opdracht uitgevoerd. Om deze stap gestructureerd uit te voeren heeft Sogeti een eigen aanpak ontwikkeld gebaseerd op een negental principes. Ter ondersteuning van iedere afzonderlijke stap gebruikt de Security Specialist de best passende tools. Gedurende de test wordt de blauwdruk continu bijgewerkt met nieuwe informatie en mogelijk testscenario’s.

Door het gebruik van de negen principes dekt de Vulnerability-test van Sogeti meer af dan alleen de OWASP top 10 of de Sans 25. De negen onderstaande onderzoeksvragen zijn ontstaan uit onze ervaring op het gebied van veilig ontwikkelen van ICT projecten:

  1. Worden systeembewerkingen en beslissingen altijd gecontroleerd uitgevoerd?
  2. Is authenticatie voldoende en op de juiste manier geïmplementeerd?
  3. Kan een sessie worden verbroken, of overgenomen?
  4. Is het mogelijk autorisatie te omzeilen?
  5. Kan de invoer en/of uitvoer van gegevens ongewenst gedrag opleveren of informatie lekken?
  6. Kan de beschikbare functionaliteit worden misbruikt?
  7. Kunnen processen worden herhaald, overgeslagen of in een verkeerde volgorde worden uitgevoerd?
  8. Is het netwerk ongeoorloofd te benaderen, te veranderen of onbereikbaar te maken?
  9. Is de server veilig geconfigureerd?

Tijdens de Vulnerability-test houdt de lead security specialist steeds contact met u om eventuele kritische meldingen per direct af te stemmen.

Fase 3: Rapportage en afronding
In deze laatste fase wordt de rapportage afgemaakt en opgeleverd.

Producten

Sogeti levert een eindrapport op. Het eindrapport bevat duidelijk beschreven wat, wanneer en hoe getest is. Het rapport kent een managementsamenvatting met conclusie en aanbevelingen. Alle bevindingen uit de Vulnerability-test worden gecategoriseerd, naar risico geprioriteerd en voorzien van een mogelijke oplosrichting.

Na oplevering van het definitieve rapport volgt formele décharge van het project.

10 werkdagen na oplevering van het eindrapport worden alle bevindingen en tot bevindingen te herleiden gegevens (zoals output, logbestanden, de gebruikte virtual machines en rapportages) definitief verwijderd.

Planning

Sogeti houdt rekening met een start binnen 10 werkdagen na ontvangst van de getekende offerte. De definitieve startdatum wordt in onderling overleg vastgesteld. De doorlooptijd voor de Vulnerability-test is 5 weken.

Offerte voor deze service