Veelgestelde vragen

Cybersecurity-experts, ook wel bekend als ethische hackers, simuleren echte hacktechnieken om eventuele gaten in de beveiliging te identificeren voordat iemand met kwade bedoelingen ze ontdekt. Het offensieve beveiligingsteam van SECLINQ heeft uitgebreide ervaring met het uitvoeren van beveiligingstests en kwetsbaarheidsbeoordelingen. Als onderdeel van ons penetratietestproces voeren onze deskundige beveiligingsexperts aanvalssimulaties uit en ontdekken daarbij manieren waarop hackers toegang kunnen krijgen. Ons doel is om zwakke punten in uw cyberbeveiliging te vinden, zodat u een beveiligingsinbreuk kunt stoppen voordat deze begint.

Penetratietest voor webtoepassingen

SECLINQ biedt penetratietesten voor webapplicaties voor uw bedrijf om de beveiliging te verbeteren. De penetratietest dienst voor web applicaties beoordeeld applicaties proactief om kwetsbaarheden te identificeren, die kunnen leiden tot ongeautoriseerde toegang, het verlies van gevoelige gebruikersgegevens en financiële informatie.

Netwerk pentest

SECLINQ heeft als doel bedrijven te beschermen tegen cybercriminelen. Het testen van de beveiliging van de infrastructuur is een van de belangrijkste methoden om uw bedrijf te beveiligen en uw gegevens te beschermen.

Het is het proces van denken als een hacker om in te breken in het netwerk en de systemen van een organisatie.

Dit wordt gedaan door gebruik te maken van een combinatie van deskundige handmatige tests en commerciële, open-source en propriëtaire software om de testdoelstellingen te bereiken. Een interne infrastructuurpenetratietest kan geauthenticeerd of niet-geauthenticeerd zijn, en elke test biedt een ander informatieniveau.

Draadloze penetratietest

SECLINQ kan draadloze penetratietesten uitvoeren op WIFI, Bluetooth en verschillende andere draadloze technologieën.

Draadloze technologie wordt steeds meer gebruikt en is vaak niet zo veilig als andere componenten in de infrastructuur van organisaties. Vanwege de aard van de draadloze netwerken die toegankelijk zijn met minder fysieke grenzen, kan het een gemakkelijker doelwit zijn voor aanvallers.

We voeren in eerste instantie een architectuurbeoordeling uit om de implementatie van draadloze apparaten in uw netwerk te identificeren. Zodat we kunnen verifiëren of het overeenkomt met het ontworpen netwerk of dat er andere draadloze netwerken zijn die uw organisatie heeft gemist. Bijvoorbeeld een frauduleus aangesloten apparaat dat uw zakelijke gebruikers aanvalt.

We scannen het netwerk ook op standaard of zwakke wachtwoorden op draadloze beheerapparaten vanaf het bekabelde netwerk. Ook worden openbare exploits op deze netwerk of webinterfaces onderzocht.

Het SECLINQ-team zal de nieuwste technieken en hulpmiddelen gebruiken om de gegevens te onderscheppen en proberen de gebruikte codering te kraken.

Penetratietests voor mobiele applicaties

SECLINQ biedt penetratietests voor mobiele applicaties voor uw bedrijf om de applicatiebeveiliging te verbeteren. Tijdens deze test worden kwetsbaarheden handmatig en met behulp van geautomatiseerde tooling zoals Burp Suite, Frida en in-house gemaakte tools geïdentificeerd.

Kwetsbaarheidsonderzoek

Een kwetsbaarheidsonderzoek is een proces van het identificeren, kwantificeren en prioriteren (of rangschikken) van de kwetsbaarheden van een systeem of systemen. SECLINQ identificeert kwetsbaarheden binnen de in-scope systemen, kwantificeert hun risico’s en prioriteert ze op basis van belangrijkheid. In tegenstelling tot een penetratietest wordt er geen misbruik gemaakt van deze kwetsbaarheden.

Security Code Review

SECLINQ voert een beoordeling van de broncode uit om u te helpen potentiële beveiligingsproblemen in uw broncode te vinden. De meeste beveiligingsproblemen worden veroorzaakt door kritieke kwetsbaarheden in applicaties. Code-reviews identificeren beveiligingslekken in de broncode, waardoor potentiële risico’s worden geminimaliseerd.

We zijn zeer transparant over onze prijsstelling, de kosten van een penetratietest zijn afhankelijk van de grootte van de te testen omgeving of applicatie, de doelstellingen van de test, en andere factoren. Aarzel niet om contact op te nemen met ons team en zij zullen uw test uitvoeren en zowel tijd- als kostenramingen verstrekken.

Sommige factoren die ons team in overweging neemt om de totale kosten te bepalen, zijn bijvoorbeeld het aantal live IP-adressen, de grootte en functionaliteit van de applicatie, het doel van de test, en overige factoren.

Natuurlijk willen bedrijven weten hoe lang hun test duurt. De meeste testprojecten duren tussen de één tot zes weken. De complexiteit en locatie van de faciliteit en de gevoeligheid van de informatie zullen de planning bepalen. Het testen van een medisch kantoor met één arts duurt meestal niet zo lang als werken met een wereldwijde onderneming. De tijd die de test in beslag neemt, kan natuurlijk ook afhangen van eventuele zwakke punten of kwetsbaarheden die aan het licht zijn gekomen en de gevoeligheid van de informatie die het beveiligingssysteem moet beschermen. Na scoping van het project kan het testteam een gedetailleerde schatting maken. Dat gezegd hebbende, kan ons testteam, na het project te hebben bekeken en een evaluatie te hebben uitgevoerd, een gedetailleerde planning voorstellen voordat het testwerk begint.

We begrijpen dat klanten vaak harde deadlines hebben die ze proberen te halen.
Of u nu probeert te voldoen aan de eisen van de klant die afhankelijk zijn van pentestresultaten of een jaarlijkse nalevingsvereiste heeft, we doen het beste om aan uw tijdlijnen te voldoen. Helaas vergt handmatige penetratietesten wat planning en voorbereiding voor ons testteam.

Dat gezegd hebbende, als u een dringend project heeft, neem dan gerust contact met ons op voor een planningsindicatie. Afhankelijk van de behoeften en tijdlijnen kunnen we middelen uit een onderzoeksproject halen en onmiddellijk aan de slag gaan.

Al vroeg in het proces proberen we ons vertrouwd te maken met uw bedrijf en de omvang van het werk, zodat we een nauwkeurig voorstel kunnen maken. We verzamelen deze informatie met opzet zodat we nooit meer testtijd (en extra kosten) hoeven te vragen. Hoe meer informatie u bereid bent te delen, hoe beter we kunnen beoordelen.

Dat gezegd hebbende, zijn sommige klanten misschien op zoek naar een Blackbox-aanpak waarbij weinig informatie wordt verstrekt, waarmee een aanval en reactie in de echte wereld wordt gesimuleerd. In dit geval moeten we nog steeds de omvang/complexiteit begrijpen die nodig is voor het testen en daarom hebben we enkele basisvragen voor de scope.

Een vraag die we vaak horen, is of we kunnen voldoen aan de compliance-eisen. Hoewel dit zeker een diepere discussie vereist, zijn onze tests in overeenstemming met meerdere pentest-compliancekaders, waaronder ISO27001 , PCI, HIPAA, SOC2 en andere.

Enkele van de belangrijkste componenten van ons penetratietestrapport omvatten, maar zijn niet beperkt tot:

• Domein
• Control framework (dwz: OWASP, NIST, PCI, PTES, OSSTMM)
• Planning
• Managementsamenvatting
• Technische samenvatting
• Overzichtsgrafieken rapporteren
• Samenvatting van Bevindingen
• Bevindingen (beschrijving, risicoverklaring, aanbevelingen, bewijs, referenties, CVSS, berekening van risicobeoordeling)
• Methodologie en aanpak
• Risicobeoordelingsfactoren
• Gebruikte gereedschappen

Een van onze kerndoelen als organisatie is onderwijs. We werken eraan om ervoor te zorgen dat uw team vóór het einde van onze opdracht een volledig begrip heeft van uw Red Teaming- of penetratietestresultaten en daarna beschikbaar is om zonder extra kosten een vervolgtest uit te voeren.