Soorten audits
Audits bij Secure Sense kunnen uitgevoerd worden op twee manieren om kwetsbaarheden in uw website, netwerk, mobiele apps en andere online-technologie in kaart te brengen. Deze manieren zijn betreft een greybox en blackbox audit, deze zijn onderstaand kort toegelicht.
Greybox
Tijdens een greybox security audit wordt er voorkennis over de te testen object(en) verschaft. Dit kan onder andere maar niet uitsluitend bestaan uit het verstrekken van informatie over de werking van het doelobject, gebruikersaccounts, netwerktekeningen, het verlenen van toegang tot een doel dat niet publiekelijk toegankelijk is. Dit maakt een diepgaandere test mogelijk, met een beter begrip van de context. Een greybox is vaak effectiever en efficiënter dan een blackbox door de aanwezig voorkennis.
Blackbox
Een blackbox security audit wordt uitgevoerd in de omstandigheden die het dichtste bij een externe aanval door een onbekende aanvaller liggen. Dit betekent dat er geen (of bijna geen) informatie wordt verstrekt aan de pentester voorgaand de audit.
Hoelang duurt een security audit?
Hoelang een audit duurt is afhankelijk van de omgeving(en) binnen de scope. Deze zal gedurende het kennismaking- en intakegesprek in kaart gebracht worden. Voor een website audit wordt het aangeraden om minimaal een 16 of 24 uurs audit af te nemen en bij een uitgebreidere website 40 uur. Voor een infrastructuur audit wordt het aangeraden om minimaal 40 uur af te nemen.
Wat is het verschil tussen een security audit en een vulnerabilityscan?
Het grootste verschil tussen een audit een vulnerabilityscan is de reikwijdte, diepgang en logisch denken. Een vulnerabilityscan geeft een algemeen beeld van de bekende kwetsbaarheden, verouderde software en veelvoorkomende configuratiefouten. Waarbij een security audit een stuk verder gaat en meer gedetailleerd beeld geeft van de veiligheid van de desbetreffende onderzochte omgeving en de onderzoeker middels een dosis creativiteit op zoek gaat naar kwetsbaarheden. Een security audit geeft hierdoor een completer beeld over de veiligheid en doorloopt de paden die een hacker eveneens probeert tijdens een aanval.