Microsoft Cloud Security Penetration Testing: 5-Day Assessment

OSCP gecertificeerde Ethical Hackers van BDO voeren penetratietesten uit op de Microsoft omgeving en inrichting van Microsoft Azure en Microsoft 365 en toetsen zorgvuldig op kwetsbaarheden, configuratie fouten en andere cybersecurity risico’s. Hierbij wordt niet alleen het gebruik en inrichting van de juiste beschermingsmaatregelen zoals Microsoft Defender, Microsoft Sentinel en Microsoft Intune getest, maar kan ook de inrichting van de juiste compliance maatregelen zoals Microsoft Purview worden onderzocht.

Ethical hacking testvormen

· White Box | White Box-testen worden uitgevoerd op basis van op voorhand bekende informatie zoals inloggegevens, waardoor er meer specifiek op bepaalde elementen kan worden getest. · Grey Box | Bij Grey Box-testen is er beperkte informatie over de infrastructuur bekend, maar wordt ook onderzocht in hoeverre er meer informatie over het te onderzoeken object vindbaar is. · Black Box | In een Black Box-onderzoeken is er vooraf geen informatie bekend. In dit scenario wordt de beveiliging getest zonder kennis vooraf van de omgeving. · Custom | Voor specifieke wensen, bijvoorbeeld voor gevoelige omgevingen of multidisciplinaire opdrachten zoals Red of Purple Teaming, stellen wij in overleg een op maat gemaakt voorstel op.

Uitvoering · Heldere afstemming van de scope en doelstelling van de security- en/of penetratietest, rekening houdend met specifieke branche-, bedrijfs- en omgevingskenmerken; · Dreigingsanalyse door middel van een gezamenlijke inschatting van de potentiële cybersecurity-dreigingen; · Testontwerp, gebaseerd op voorgaande punten kan dit bijvoorbeeld met of zonder ‘credentials’ zijn toegespitst op één of meer specifieke omgevingen, zoeken naar gevoelige informatie zoals financiële data of IP, toegankelijke systemen, netwerk infrastructuur, bepaalde applicaties, etc.; · Uitvoering op basis van best practices, juiste tools en specifieke expertise, volgens (internationale) standaarden zoals OWASP, NIST 800-115; · Testen inzake de juiste invulling van raamwerken zoals ISO 27001, NIST, BIO of NEN) of specifieke kader vereisten zoals DigiD of PCI DSS; · Vulnerability scan om kwetsbaarheden in applicaties en infrastructuur te identificeren; · Penetratietest waarbij onder meer geprobeerd wordt toegang te krijgen tot de in scope zijnde applicaties, systemen en data.

Oplevering

· Een gedegen test afgestemd op klantbehoefte, scope en dreigingen; · Ondersteuning voor auditdoeleinden; · Duidelijk rapport in begrijpelijke taal en heatmap; · Heldere context met Common Vulnerabilities and Exposures (CVE); · Directe reactie op ernstige gedetecteerde kwetsbaarheden; · Duidelijke en afgestemde risico rating en uitleg van impact; · Verbeterpunten en helder advies onder meer inzake de inrichting van Microsoft Azure en Microsoft 365; · Advies inzake toepassing Microsoft Defender, Microsoft Sentinel, Microsoft Intune en Microsoft Purview; · Management samenvatting.