Pentests – daarom zijn ze zo belangrijk

Pentests – daarom zijn ze zo belangrijk

fabriek

In onze steeds digitaler wordende wereld worden de security-risico’s eveneens groter. Niet alleen cybercriminelen proberen uw systemen binnen te dringen. De dreiging kan ook van binnen de organisatie komen. Om de gevaren daadwerkelijk in kaart te brengen, zijn penetratietesten onontbeerlijk.

Een penetratietest – pentest – is uitgebreider dan een ‘kwetsbaarheidsscan’ of een audit. Bij een pentest worden gevonden kwetsbaarheden ook daadwerkelijk gebruikt om toegang te krijgen op het bedrijfsnetwerk. Dat betekent dat zo’n test de organisatie een beeld geeft van haar beveiliging in de daadwerkelijk operationele context. Het gaat bij solide penetratietests niet alleen om de veiligheid van de hardware en software van een bedrijf, maar ook om het bewustzijn van medewerkers als het gaat om securitygevaren.

Hoewel pentests geautomatiseerd kunnen worden uitgevoerd, is het raadzaam om op regelmatige basis eveneens een handmatige test uit te voeren, waarbij een team van ethische hackers proberen uw systemen te kraken. Sommige kwetsbaarheden zijn voor automatische testen namelijk lastig te detecteren of uit te buiten, maar voor een menselijke aanvaller prima bruikbaar. Door handmatige testen, brengt u de daadwerkelijke gevaren voor uw bedrijfsdata in kaart.

Toegevoegde waarde van pentests

Er is een aantal goede redenen om te investeren in gedegen pentests:

  • Bepalen waar de zwakke schakels zitten in de infrastructuur, applicaties en medewerkers.
  • Het identificeren van kwetsbaarheden met hoog risico die voortkomen uit een combinatie van minder risicovolle kwetsbaarheden die in een bepaalde volgorde worden misbruikt.
  • Bepalen of de huidige securitymaatregelen en -tools effectief zijn.
  • Het beoordelen van de omvang van mogelijke zakelijke en operationele gevolgen van succesvolle aanvallen.
  • Het voldoen aan wet- en regelgeving.

Bovendien zijn penetratietesten een goede manier om erachter te komen of uw organisatie een hack of lek adequaat kan ontdekken.

Wat is de juiste pentest voor mijn organisatie?

Er zijn talloze penetratietesten beschikbaar op de markt, variërend van een simpele tool die het netwerk scant tot een op maat samengesteld team van ethische hackers die gericht uw netwerk te lijf gaan. De keuze voor de juiste pentest ligt dan ook vooral aan uw organisatie en uw overwegingen. Wilt u slechts kunnen aantonen dat u regelmatig pentests uitvoert, dan zal de scope van de test een stuk minder omvangrijk zijn dan wanneer u daadwerkelijk in beeld wilt hebben waar de kwetsbaarheden van uw netwerk zitten en welke risico’s uw intellectuele eigendommen en data lopen.

Waar let ik op bij een leverancier van penetratietests?

De pentests die het meest waardevol zijn, zijn degene die uitgaan van de werkelijkheid. Natuurlijk zijn er beperkingen denkbaar als het gaat om het beschikbare budget, maar stel dat u een zo realistisch mogelijke aanval op uw netwerk wilt laten uitvoeren.

– Dan zorgt u ervoor dat u de beste talenten aantrekt met de juiste ervaring, kennis en tools om de aanval uit te voeren. Een pentest is een onvermijdelijk risicovolle onderneming. Dingen gaan stuk of verkeerd, en hopelijk gaan er talloze alarmen af. Dat is nou juist de bedoeling. Zorg er dus voor dat u een team inhuurt met ervaring en vraag ze gedetailleerd naar hun testplan, betrokkenheid en uiteindelijke rapportage.

– Dan zorgt u voor de juiste scope van de pentest. Dit is het meest lastige onderdeel van het opzetten van een test en het juiste team helpt u hierbij. Zo moeten bijvoorbeeld de IP-ranges helder zijn, maar ook of er social engineering-technieken gebruikt mogen worden tijdens de test. Ook kunt u afspreken of de testers mogen proberen om fysieke toegang tot uw pand te krijgen. Een van de zaken die vaak vergeten wordt, is dat er in de scope ook prioriteiten worden vastgesteld, zodat het team de meest waardevolle zaken het eerst kan testen.

– Dan bepaalt u vooraf welke doelen en doelstellingen u heeft met de penetratietest. Door vooraf helder te hebben wat u uit de test wilt halen, geeft u het testteam de mogelijkheid om een rapport op te leveren dat voldoet aan uw verwachtingen.

– Spreekt u af of het testteam aanbevelingen doet. Ga er niet vanuit dat het team automatisch rapporteert hoe alles dat ze vonden kan worden opgelost. Vraag vooraf een voorbeeld van een rapportage en bekijk hoe de aanbevelingen worden aangeboden. Zijn ze helder en uitvoerbaar voor uw IT-afdeling? Spreek af dat de aanbevelingen zo concreet mogelijk worden gemaakt.

Weet hoe de zaken ervoor staan

Uiteindelijk gaat het erom dat uw mensen, netwerk, data en bedrijf veilig zijn in de echte wereld. Een penetratietest is een beetje zoals een MRI-scan. Het is niet iets waar je om staat te springen, en je hoopt dat de resultaten negatief zijn, maar je wilt het wel laten doen, omdat het rust geeft om te weten hoe de zaken ervoor staan.

Pieter Lacroix, Managing Director Nederland bij Sophos

Wie is de zwakste schakel?

Sophos biedt organisaties de mogelijkheid om het interne security-bewustzijn te testen. Dit is geen overbodige luxe. Social engineering wordt immers nog steeds met groot succes door cybercriminelen gebruik. Met de cloud-oplossing Sophos Phish Threat kunnen IT-managers emailcampagnes opzetten die ze intern kunnen verspreiden. Zo kunnen ze bekijken welke medewerkers zich onvoldoende bewust zijn van security-gevaren.

GEEN REACTIES

LAAT EEN REACTIE ACHTER