Identificeren van IT-beveiligingsrisico's
Beveiligen van IT start met het identificeren en analyseren van IT-beveiliginsrisico's. Organisaties moeten zich immers bewust zijn van risico's die men loopt vanwege zwakke punten in de IT-beveiliging. Beveiliging is namelijk maar zo sterk als de zwakste schakel.
Madison Gurkha levert de volgende diensten om IT-beveiligings risico's te identificeren:
- Technische IT Security Audits
- Social engineering
- Security policies & baselines
- Security assessments
Met deze technische IT-beveiligingsaudits kunnen wij diverse risicogebieden onderzoeken, zoals:
- (Web)applicaties (inclusief code inspectie)
- Extranetten
- Portals
- Standaardapplicaties
- DeMilitarized Zones (DMZ's)
- Interne Netwerken (LAN)
- Wide Area Netwerken (WAN)
- Firewalls
- Inbelnetwerken
- WiFi netwerken
- RFID
Om deze gebieden te onderzoeken met Technische IT Security Audits, kunnen wij verschillende methodieken toepassen:
Black Box Security Audit
Bij een Black Box Security Audit beschikken wij over minimale informatie over de te testen doelen. In een gegeven hoeveelheid tijd —time-box— brengen wij zoveel mogelijk zwakke plekken in kaart in (web)applicaties en/of IT-infrastructuren.Grey Box Security Audit
Bij een Grey Box Security Audit beschikken onze consultants over testcredentials, zoals bijvoorbeeld gebruikersnamen en wachtwoorden. Zo kunnen wij onderzoeken of bijvoorbeeld correcte autorisatie binnen applicaties gewaarborgd is. Kan gebruiker A bijvoorbeeld niet de data van gebruiker B benaderen? Ook kunnen wij met de Grey Box methodiek een intern netwerk onderzoeken. Wat kan een gemiddelde gebruiker in een bedrijfsnetwerk wat eigenlijk niet zou moeten kunnen of mogen?Crystal Box Security Audit
Bij een Crystal Box Security audit beschikt Madison Gurkha over alle mogelijk informatie, zoals functionele, technische en architectonische ontwerpen. In het geval van applicaties kunnen wij zelfs de beschikking hebben over de broncode die wij aan een inspectie onderwerpen. Bij onderzoeken van IT-infrastructuren onderzoeken wij nauwgezet de hardening van servers, de inrichting van firewalls en de instellingen van devices.-
Penetratietest
Een Penetratietest spreekt het meest tot de verbeelding en staat ook wel bekend als Ethical Hack. Een Penetratietest lijkt op een Black Box Security Audit, maar is toch wezenlijk anders. Bij een Penetratietest gaan wij in de beschikbare tijd op zoek naar een zwakke plek en proberen deze vervolgens uit te buiten om bijvoorbeeld verder te penetreren in een DMZ of LAN. Of er nog andere zwakke plekken zijn, is van secundair belang. Het gaat om zo goed mogelijk aan te tonen waar een bepaald security probleem toe kan leiden. Penetratietesten worden vaak gebruikt om de ernst van security problemen aan te tonen, het bewustzijn te verhogen en budgetten los te krijgen voor een structurele IT-beveiligngsaanpak binnen organisaties.
Neem contact met ons op als u wilt weten hoe Madison Gurkha uw organisatie kan ondersteunen bij het identificeren van uw technische IT-beveiligingsrisico's.
Voor meer informatie over onze diensten kunt u ook onze brochure aanvragen.