Mystery Visit / Pentest (NL) Mixte : présentiel / à distance

Tijdens een mystery visit / pentest wordt de beveiliging getest. Deze resultaatgerichte test kan zich zowel tot de infrastructuur, de (techno)preventieve maatregelen, de geldende procedures en de kennis ervan bij uw medewerkers alsook de bedrijfscultuur (awareness) richten.

Afhankelijk van de aard van de geïdentificeerde kwetsbaarheden, kan het zwaartepunt verschuiven van Mystery Visit naar Pentest en omgekeerd.

Bij Mystery visit zal via social engineering de menselijke schakel getest worden om bepaalde informatie of een vooraf bepaalde toegang te verkrijgen.

Bij een Pentest worden de technopreventieve middelen getest middels braak, inklimming, valse sleutel etc., waarbij het contact met medewerkers vermeden wordt.

Een combinatie van beide is mogelijk en wordt in overleg met de klant bepaald, afhankelijk van de concrete noden.

De doorlooptijd van de opdracht hangt af van de complexiteit en specifieke wensen. Een precieze inschatting wordt aan u overgemaakt via een offerte op maat.

De opdracht bestaat uit een verkenning, voorbereiding (scenario uitwerken), uitvoering en rapportering met aanbevelingen.

Mogelijkheden (niet-limitatief):

• Full Pentest:

De opdrachtgever wenst de beveiliging in zijn totaliteit te testen: eender hoe binnen geraken en een gesimuleerde “aanval” uitvoeren. Hierbij worden vooral de technopreventieve maatregelen getest, maar bij contact met werknemers kan ook social engineering (Mystery Visit) toegepast worden om het scenario te kunnen volbrengen.
De aanval is afhankelijk van de aard van de kernactiviteiten van de klant (bv. cyber, explosie, stroomuitval, contaminatie van voeding/geneesmiddelen, supply chain sabotage, spionage/R&D, diefstal persoonsgegevens…)

• Hospitality oriented Mystery Visit:

Bijvoorbeeld:

• Hoe wordt men aan de balie onthaald?
• Laat men u zomaar binnen of verifieert men wie u bent en wat u komt doen…?
• Blijft men vriendelijk maar toch assertief in contact met “moeilijke” klanten?

• Permanente security-evaluatie:

Hierbij wordt een bedrijf of instelling een aantal keren per jaar “bezocht” om de security awareness te testen (bv. 2 keer per jaar, ieder kwartaal, om de maand…) 
De voordelen hiervan zijn:

• Biedt meer inzicht in plaats van een éénmalige test;
• Kostenefficiënter omdat de voorbereidingstijd kleiner (“gekende site”) wordt. 

Tijdens een eerste overleg worden de spelregels’ of ‘rules of engagement’ gedefinieerd. Hierin leggen we de vooropgelegde doelen (informatie of fysieke toegang tot ruimtes) vast en technieken die aangewend mogen worden om deze informatie te bekomen of bepalen we de specifieke security procedure die getest dient te worden.

Hierbij maken we gebruik van de:

• courant gebruikte social engineering technieken en voorwendselen om in te spelen op de emotie van uw werknemers;
• zwakheden in de technopreventieve maatregelen;
• Zwakheden in de procedures. 

Wij zetten een profiel in dat het beste aansluit bij de doelstellingen van de specifieke opdracht. Dit kan gaan om ervaren pentesters tot acteurs, ethical hackers of experts in communicatie.

Mogelijke varianten: 

• Mystery mails / Phishing mails
• Mystery calls / Vishing (voice), Quishing (QR code) en of Smishing (sms)

De bevindingen worden in een eindrapport weergegeven dat aangewend kan worden voor het aanpakken van geïdentificeerde risico's.

Na afloop van elk hoofdstuk en de opleiding nodigen wij elke cursist uit om via het extranet een gedetailleerde kwaliteitsbeoordeling in te vullen. Hierin kunt u feedback geven over elk hoofdstuk, elke lesgever en elk gebruikt lokaal. Uw waardevolle input stelt ons in staat onze dienstverlening voortdurend te verbeteren en de kwaliteit van onze opleidingen te optimaliseren.