Netwerkbeveiliging verveelt nooit.
Werken bij henz Support
Pentest
Home »  Blog » Pentest als sleutelmoment

Pentest als sleutelmoment

In een tijd waarin cyberdreigingen steeds geavanceerder worden, is het cruciaal dat organisaties hun digitale infrastructuur stevig dichttimmeren. Eén van de krachtigste instrumenten om dat te doen, is een pentest. Zo’n gesimuleerde cyberaanval laat zien waar kwetsbaarheden zich bevinden, zodat ze tijdig kunnen worden aangepakt.

Bij een recent project van HENZ ICT werd het belang van zo'n pentest onderstreept. Voordat het Authus Authenticatieplatform in productie mocht gaan voor zowel Tacacs+ als Radius-authenticatie was een succesvolle pentest zelfs een harde eis. Wat op het spel stond, was niet alleen de beveiliging van de eigen netwerkcomponenten van deze klant, maar ook die van zakelijke en particuliere relaties die van hun infrastructuur afhankelijk zijn.

De uitkomst: slechts een half A4-tje aan bevindingen
Een team van professionele ethische hackers werd ingeschakeld om onze Authus-software stevig onder handen te nemen. Hun bevindingen? Acht aandachtspunten. Niet meer dan een half A4-tje. Volgens de teamleider van het pentestteam was dit een uitzonderlijk goed resultaat. De gevonden punten konden binnen een halve dag worden verholpen. Daarna kon de productieomgeving live.

De bevindingen betroffen onder andere:
•    Principle of least privilege not (always) enforced
> Te brede toegangsrechten vormen een risico. Beperk gebruikers tot alleen datgene wat nodig is.

•    Secure cookie- en HttpOnly-attributen niet ingesteld
> Cookies zonder deze attributen kunnen makkelijk worden onderschept of misbruikt in XSS-aanvallen.

•    Ontbreken van Strict-Transport-Security (HSTS)
> Zonder HSTS kunnen gebruikers via onbeveiligde HTTP-verbindingen worden omgeleid.

•    Reflected link manipulation en HTTP parameter pollution
> Risico op misleiding en manipulatie van data via URL’s.

•    Open redirect
> Kan worden misbruikt in phishing-aanvallen om gebruikers naar malafide websites te leiden.

•    Geen remote logging of monitoring
> Zonder logging is het lastig om incidenten op te sporen of te reageren op beveiligingsinbreuken.

Waarom deze test zoveel waarde heeft
Deze pentest onderstreept voor ons het belang van externe controle. Want hoe hard we ook werken aan de veiligheid van onze software, een frisse blik van buiten kan net die ene blinde vlek zichtbaar maken. Een pentest is geen checklist die je afvinkt en daarna vergeet. Het is een momentopname die inzicht geeft in de robuustheid van je beveiliging, én een signaal dat je als organisatie serieus met veiligheid omgaat.

Veiligheid is geen product, maar een proces. En pentests zijn daarin onmisbaar.

Recente blog-artikelen:

HENZ Compliancy klein

Compliancy in Authus
LinkedIN F5 Partner Day klein

F5 Partner Day in Utrecht
HENZ Datacenter header

Van Juniper naar OPNsense: succesvolle VPN-migratie zorgt voor meer flexibiliteit

Vragen naar aanleiding
van dit artikel?

Onze toptechneuten geven antwoord

We werken dagelijks met een klein hecht team aan de complexe IT-vraagstukken van onze klanten. Dat doen we eigenlijk altijd op projectbasis. Omdat we houden van een kop en een staart en van getting things done.