Wat is Offensive Security?

Offensive Security (of aanvalssimulatie) is het laten aanvallen van uw eigen cybersecurity om proactief zwakke plekken op te sporen. Op basis van de resultaten kunt u gericht de gaten in uw beveiliging dichtmaken. Er zijn verschillende manieren om dit te doen: met een penetratietest, met red teaming of door ethisch hacken.

1. Pentesten: test één schakel

   Een penetratietest of pentest is een precisieaanval. We viseren één specifieke schakel in uw beveiligingsketen. Dat kan een bepaalde applicatie zijn of een stukje van uw infrastructuur. We proberen alle gaten te vinden in de beveiliging. In tegenstelling tot bij ethisch hacken en red teaming, is bij pentesting iedereen op de hoogte dat het gaat gebeuren. Het is een technische vuurdoop.

2. Red teaming: test de hele keten

   Bij red teaming beperken we ons niet tot één schakel maar viseren we de hele beveiligingsketen. We spelen een cybercrimineel die een bepaald doel heeft, zoals geld stelen of uw productiesysteem stilleggen. Wat we proberen te bemachtigen wordt vooraf afgesproken. U weet ervan, maar de rest van uw bedrijf niet. Daarna testen we uw systemen, werkwijzen en mensen. Het is de ultieme manier om de beveiliging én het bewustzijn in het bedrijf te verhogen. We gaan te werk zoals de cybercrimineel te werk zou gaan en maken ook gebruik van “social engineering”-aanvallen.

3. Ethisch hacken: test alleen technisch

   Ethisch hacken of ethical hacking is hetzelfde als red teaming, maar dan zonder de menselijke component. We simuleren eveneens een aanval, maar we richten ons daarbij alleen op de systemen. We gaan op zoek naar de technische zwakheden, niet de menselijke. Terwijl we bij red teaming naar een medewerker zouden durven bellen om een paswoord los te krijgen, gaan we bij ethisch hacken proberen om zonder menselijke hulp binnen te geraken.

Waarom een aanval simuleren?

Er zijn heel wat goede redenen om een cyberaanval te laten simuleren.

Om uzelf te testen

Is uw bedrijf afhankelijk van een bepaald systeem? Voer dan regelmatig aanvalssimulaties uit om zeker te zijn dat u nog steeds voldoende beveiligd bent.

Om iemand anders te testen

Gaat u samenwerken met een nieuwe partner? Vraag dan welke beveiligingstests ze al hebben laten uitvoeren vooraleer u met hen in zee gaat.

Om uw betrouwbaarheid te bewijzen

Financiële instellingen en bedrijven in kritische sectoren zijn verplicht om periodieke aanvalssimulaties te laten uitvoeren.

Hoe werkt het?

1. Intakegesprek en offerte

   Tijdens een eerste kennismaking verdiepen we ons in uw bedrijf, uw sector en uw kritische systemen. Aan de hand daarvan kunnen we de risico’s inschatten en een voorstel voor een geschikte test uitwerken.

2. Afspraken en uitvoering:

   Na goedkeuring van de offerte houden we een kick-offmeeting. We maken duidelijke afspraken over wat we wel en niet mogen doen tijdens het testen. Daarna gaan we aan de slag. We simuleren een aanval en loggen de resultaten in een verslag.

3. Rapportage en nazorg

   Alle gelogde acties komen in een rapport terecht. De resultaten, bevindingen en aanbevelingen komen we bij u toelichten in mensentaal. Als u dat wenst, adviseren we u daarna bij het implementeren van een betere beveiliging.

Waarom wij?

De personen die deze diensten uitvoeren zijn cyberexperts met ruime ervaring in aanvalssimulatie. We hebben al oefeningen uitgevoerd bij klanten in kritische sectoren zoals de financiële sector, de energiesector en de openbare sector.