Pentesting - referenties

Robert Ford
Elite Poster
Elite Poster
Berichten: 1432
Lid geworden op: 12 Nov 2005
Bedankt: 96 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 100 keer

Pentesting - referenties

Berichtdoor Robert Ford » 26 Mar 2019, 10:14

Beste,

Zijn er IT'ers onder jullie die ervaring hebben met hun bedrijf te laten pentesten? Ik hoor graag een paar referenties van jullie.

Gebruikersavatar
Loeri
Premium Member
Premium Member
Berichten: 488
Lid geworden op: 04 Sep 2011
Bedankt: 26 keer
Uitgedeelde bedankjes: 73 keer

Re: Pentesting - referenties

Berichtdoor Loeri » 26 Mar 2019, 10:31

Ik heb zelf gewerkt in de IT security wereld.
Het hangt af welke pentest je wilt laten uitvoeren, denk dan bvb aan web applciatie, netwerk, ICS, iot, physical, phishing, ...

Je hebt de volgende spelers met een goede reputatie:
- Nviso
- Toreon
- Cronos: Nynox, The Security Factory

Je hebt dan natuurlijk ook de mannen zoals PwC, EY, etc..

Gebruikersavatar
Dafke
Elite Poster
Elite Poster
Berichten: 2426
Lid geworden op: 04 Mei 2006
Bedankt: 129 keer
Uitgedeelde bedankjes: 155 keer
Contact:

Re: Pentesting - referenties

Berichtdoor Dafke » 26 Mar 2019, 11:11

Afbeelding

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7233
Lid geworden op: 28 Jan 2012
Bedankt: 534 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 119 keer

Re: Pentesting - referenties

Berichtdoor ITnetadmin » 26 Mar 2019, 19:52

Run anders al ns Metasploit?

beont
Plus Member
Plus Member
Berichten: 116
Lid geworden op: 16 Jan 2011
Bedankt: 4 keer
Uitgedeelde bedankjes: 9 keer

Re: Pentesting - referenties

Berichtdoor beont » 26 Mar 2019, 20:08


johcla
Elite Poster
Elite Poster
Berichten: 2256
Lid geworden op: 23 Mar 2009
Bedankt: 131 keer
Uitgedeelde bedankjes: 585 keer

Re: Pentesting - referenties

Berichtdoor johcla » 26 Mar 2019, 20:28

Nviso

ub4b
Elite Poster
Elite Poster
Berichten: 3900
Lid geworden op: 12 Jan 2006
Bedankt: 328 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 56 keer

Re: Pentesting - referenties

Berichtdoor ub4b » 26 Mar 2019, 21:59

Ik werk voor een grote fin. speler. Ik krijg regelmatig pentest resultaten binnen van allerlei firma's, en mijn job bestaat er o.a. in om samen met OS teams en met security teams, audits/scans/pentest results te analyseren en dan beslissen wat er wel en niet gedaan moet worden met zulke resultaten.

Een ander deel is dan weer hardening, waar ik zelf security checks implementeer via een tool die op alle nodes loopt, om de officiële resultaten, die soms erbarmelijk zijn maar in werkelijkheid 100%, te kunnen weerleggen. Ja men kijkt blind op een bepaald getal die compliant moet zijn, en omdat de checks fout zijn geschreven krijg je dan foutieve percentages, die we dan debunken en aantonen dat we wel in orde zijn.

Veel van die zaken die uit een pentest komen weten we al, omdat we ze via andere kanalen ook binnenkrijgen (bvb een Qualys scan, Bladelogic code die bvb de CIS Red Hat Enterprise Linux X Benchmarkevalueert, ... en nog een berg andere tools). Vaak wordt er ook per applicatie gepentest, en dan nog eens OS wise ... er wordt veel dubbel werk gedaan.

Zelf vind ik ook regelmatig security bugs, vandaag nog een RDP based oplossing gekraakt waar ik plots full javascript access had en commando's kon uitvoeren die ik zeker niet mocht uitvoeren. Uiteraard wordt er dan samengewerkt met ons global team om dit soort bugs op te lossen ;)

De grotere uitdaging is om de informatie uit al deze tools, scans en audits samen te vatten en dan bvb een standaard te maken die bvb strenger is dan wat bvb de CIS voor Redhat whatever aangeeft:

https://security.uri.edu/files/CIS_Red_ ... v1.1.0.pdf

Een gevolg en dus leuk aspect is dat ik zelf ook security standaarden schrijf, zo was er geen standaard voor SSH encryptie (bestudeer maar eens KEX, MAC's en ciphers .... zeer veel combi's) en dan teams aanstuur die dan tegen een bepaalde tijd moeten klaar zijn om bvb alle SSH clients klaar te hebben voor een nieuwe betere standaard die bvb gebruik maakt van crypto die klaar is voor post quantum computing.

Dus audits en pentesting is dan wel interessant, maar je moet nog steeds mensen hebben die die resultaten kunnen interpreteren, en dan een inschatting maken wat echt belangrijk is. Soms heb ik de indruk dat pentesters gewoon een scenario aflopen, wat even goed een geautomatiseerde tool kan doen.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7233
Lid geworden op: 28 Jan 2012
Bedankt: 534 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 119 keer

Re: Pentesting - referenties

Berichtdoor ITnetadmin » 26 Mar 2019, 22:12

Mss ns interessant om wat gratis of zeer cheape tooltjes op te lijsten voor doe-het-zelvers, dan denk ik vooral aan ITers in kleine omgevingen zonder groot budget?

CCatalyst
Elite Poster
Elite Poster
Berichten: 2277
Lid geworden op: 20 Jun 2016
Bedankt: 195 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 8 keer

Re: Pentesting - referenties

Berichtdoor CCatalyst » 27 Mar 2019, 06:07

Kali met Metasploit en je hebt alle voornaamste tools.

Er is natuurlijk pentesten en pentesten.

De ene leverancier gaat op zoek naar gepubliceerde vulnerabilities (vaak met Nessus oid) en inbreuken op basisregels van security. Dit zijn de off-the-shelf testen die zoveel bedrijven aanbieden. Wanneer ze de resultaten komen bespreken, komen ze in pak en das netjes langs de receptie en krijgen ze een bezoekersbadge.

De andere leverancier legt uw IT-infra binnen 5 minuten plat met een zero-day, verleent zichzelf toegang tot je kantoor zonder langs de receptie te passeren, en komt binnengewandeld in hoodie en jeans.

Het verschil in kostprijs (en wat je er aan hebt) is navenant.

Gebruikersavatar
diepvries
Plus Member
Plus Member
Berichten: 167
Lid geworden op: 03 Jan 2017
Locatie: W-VL
Bedankt: 6 keer
Uitgedeelde bedankjes: 11 keer

Re: Pentesting - referenties

Berichtdoor diepvries » 27 Mar 2019, 09:49

Ik heb persoonlijk al enkele mooie zaken kunnen bereiken met de Greenbone Security Manager

Grootste nadeel is hier wel dat veel auditoren het woordje "gratis" niet graag zien staan want dan zal het wel niet compleet zijn...
Op een manier klopt dat ook wel maar als je los daarvan graag een netwerk wil evalueren op kwetsbaarheden dan kan je hier zeker mee aan de slag.

https://www.greenbone.net/en/community-edition/

Andere alternatieven zijn:
Nessus Professional https://www.tenable.com
Outpost24 https://outpost24.com/internal-network-security
Al de rest http://lmgtfy.com/?q=network+penetration+testing+tools
:???: Orange LOVE 100Mbps
:???: OVH VOIP + Gigaset C530IP
:???: iPhone XR 64GB (1) - Proximus Zen
:???: iPhone 7 128GB (2) - Orange Dolfijn


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 5 gasten