De beste manier om uw verdediging te testen is door deze aan te vallen. Ethical hackers en red team operators identificeren kwetsbaarheden voordat kwaadwillenden dat doen. MVPeople Group levert OSCP-gecertificeerde pentesters en red team specialisten die uw beveiliging op de proef stellen. Via MVProjects leveren wij ook projectmatige pentests en red team assessments.
Offensieve security, ook wel ethical hacking genoemd, is de discipline waarbij beveiligingsprofessionals dezelfde technieken en tools gebruiken als kwaadwillende hackers, maar dan met toestemming en het doel om kwetsbaarheden te identificeren en te verhelpen. Dit omvat penetration testing, red teaming, social engineering en vulnerability research.
In een tijd waarin cyberaanvallen steeds geavanceerder worden is het niet voldoende om alleen defensieve maatregelen te treffen. Organisaties moeten hun beveiliging actief testen om zwakke punten te ontdekken. Een pentest brengt technische kwetsbaarheden aan het licht, terwijl een red team assessment de volledige verdedigingsketen test: technologie, processen en mensen.
Regelgeving onderstreept het belang van offensieve security. NIS2 vereist dat organisaties hun beveiligingsmaatregelen regelmatig testen. DORA schrijft Threat-Led Penetration Testing (TLPT) voor voor significante financiële instellingen. ISO 27001 vereist periodieke technische kwetsbaarheidsanalyses. Zonder structurele pentesting is compliance met deze frameworks niet haalbaar.
De Nederlandse markt voor pentesters is zeer competitief. Ervaren ethical hackers met certificeringen als OSCP, OSCE of OSEP zijn schaars en gewild. MVPeople Group onderscheidt zich door ons diepgaande netwerk in de offensive security community en ons vermogen om pentesters te beoordelen op daadwerkelijke technische vaardigheden, niet alleen op CV.
Elke organisatie heeft een ander aanvalsoppervlak. Wij leveren specialisten voor elk type security assessment.
Gestructureerde beveiligingstest van webapplicaties op basis van de OWASP Top 10 en OWASP ASVS. Identificeert kwetsbaarheden als SQL injection, XSS, authentication bypasses en business logic flaws.
Beoordeling van de beveiliging van uw netwerkinfrastructuur: servers, firewalls, Active Directory, netwerksegmentatie en patch management. Zowel extern (vanuit het internet) als intern (vanuit het netwerk).
Beveiligingstest van iOS en Android applicaties. Onderzoekt lokale data-opslag, API-communicatie, authenticatie, certificate pinning en reverse engineering kwetsbaarheden.
Beoordeling van draadloze netwerken en IoT-apparaten. Test WiFi-configuraties, Bluetooth-beveiliging en de security posture van verbonden apparaten in uw netwerk.
Realistische aanvalssimulatie waarbij een team van offensive security specialisten uw organisatie aanvalt met dezelfde technieken als echte dreigingsactoren. Test de volledige verdedigingsketen: technisch, menselijk en procesmatig.
Test de menselijke factor in uw beveiliging via phishing-campagnes, vishing (telefonisch), fysieke toegangstests en pretexting. Geeft inzicht in de security awareness van uw medewerkers.
Organisaties huren pentesters in verschillende scenario's in. Projectmatig via MVProjects voor eenmalige of periodieke pentests, of op interim basis via MVPeople wanneer u een pentester langer in uw team wilt integreren.
Typische momenten om een pentester in te huren zijn: voor de lancering van een nieuwe applicatie of platform, na significante wijzigingen in de infrastructuur, als onderdeel van een compliance-programma (NIS2, DORA, PCI DSS), na een security-incident om de volledige scope te bepalen, of structureel als onderdeel van uw security-programma.
Lancering van nieuwe applicaties of platformen
Jaarlijkse of kwartaal compliance-pentests
Red team assessments voor het testen van detectie
Bug bounty programma management en triage
Security code reviews en architectuur assessments
Incident response en forensisch onderzoek
Purple team oefeningen met het blue team
DORA Threat-Led Penetration Testing (TLPT)
Onze pentesters en red team operators beschikken over de meest gerespecteerde offensive security certificeringen.
Een penetration test is een gestructureerde beveiligingstest met een duidelijke scope (bijvoorbeeld een webapplicatie of netwerksegment) die binnen een afgebakende tijdsperiode wordt uitgevoerd. Het doel is het identificeren van zoveel mogelijk kwetsbaarheden. Een red team assessment is een realistische aanvalssimulatie zonder vooraf gedefinieerde scope, waarbij het team dezelfde technieken gebruikt als echte aanvallers. Het doel is het testen van de detectie- en responscapaciteiten van de organisatie.
De OSCP (Offensive Security Certified Professional) is de meest erkende en gerespecteerde certificering voor pentesters vanwege het praktijkgerichte examen. Andere waardevolle certificeringen zijn OSCE (Offensive Security Certified Expert), OSWE (Web Expert), OSEP (Experienced Pentester), GPEN, GXPN, CEH en eLearnSecurity certificeringen (eCPPT, eWPT). Voor red teamers zijn CRTO en CRTP relevant.
De frequentie hangt af van het risicoprofiel en de regelgeving die van toepassing is. Over het algemeen wordt aanbevolen om minimaal jaarlijks een pentest uit te voeren, en bij significante wijzigingen in de infrastructuur of applicaties. NIS2 en DORA stellen specifieke eisen aan de frequentie van beveiligingstests. Veel organisaties kiezen voor een continu pentest-programma met kwartaal- of maandelijkse tests.
Via onze MVProjects servicelijn leveren wij pentesters en red team specialisten voor projectmatige opdrachten: van eenmalige pentests tot doorlopende security assessment programma's. Daarnaast leveren wij via MVPeople interim pentesters die voor langere tijd aansluiten bij uw interne security team.
Tarieven voor pentesters variëren op basis van senioriteit, specialisatie en type opdracht. Een medior pentester heeft een ander tarief dan een senior red team operator met OSCP/OSCE-certificeringen. Projectmatige pentests worden doorgaans op basis van een vaste projectprijs geoffreerd, terwijl interim pentesters op dagtarief werken. Neem contact op voor een vrijblijvende indicatie.
Wij presenteren doorgaans binnen 5 tot 10 werkdagen geschikte pentest-profielen. Voor interim opdrachten kan een pentester vaak binnen 2 weken starten. Voor projectmatige pentests plannen wij doorgaans 2 tot 4 weken vooruit, afhankelijk van de scope en complexiteit van de opdracht.
Purple teaming is een collaboratieve benadering waarbij het red team (aanvallers) en blue team (verdedigers) samenwerken om de detectie- en responscapaciteiten te verbeteren. In plaats van een adversariële test werken beide teams gezamenlijk aan het identificeren van detectiegaten en het ontwikkelen van verbeterde detection rules. MVPeople Group levert professionals voor zowel red als purple team opdrachten.
Als Penetratietest Coördinator zorg je voor de naadloze uitvoering van security assessments en ben je het centrale aanspreekpunt tussen klanten, pentesters en management. Je combineert projectmanagement met cybersecurity kennis en zorgt ervoor dat elk engagement volgens plan verloopt en maximale waarde oplevert.
Van OSCP-gecertificeerde pentesters tot red team operators: wij leveren de offensive security professionals die uw verdediging testen.
