Hackers zoeken dagelijks naar nieuwe manieren om organisaties binnen te dringen. Zij worden hierin steeds creatiever én succesvoller. Met een pentest kunt u laten onderzoeken of uw organisatie voldoende weerbaar is tegen deze aanvallen en krijgt u inzicht in de kwetsbaarheden van uw IT-infrastructuur.
Een van de bedrijven die een pentest door Hoffmann heeft laten uitvoeren is managed service provider Open Line. In deze casus vertellen Eric IJpelaar, Security & Privacy Officer bij Open Line, en Mathijs, ICT Security Consultant bij Hoffmann, over die samenwerking.
Pentesting
Eric: “Ik vergelijk een pentest vaak met een inbraak in een woning. Voordat een inbreker overgaat tot de inbraak, gaat hij altijd eerst op zoek naar kwetsbaarheden aan de woning. Een kiepraampje, een slot dat makkelijk te forceren is of een raam met enkel glas. Een pentest is in die zin niet anders. Een pentester gaat in feite ook op zoek naar een achterdeurtje of openstaand raam om de systemen binnen te komen.”
“Dat is inderdaad wel een goede vergelijking”, aldus Mathijs. “Bij een pentest probeer ik via technische en organisatorische kwetsbaarheden in te breken in de computersystemen van de klant. Denk daarbij aan verouderde besturingssystemen of een gebrekkige beveiligingsupdate, maar ook aan de combinatie van een e-mailadres en een wachtwoord. Dat kan een wachtwoord zijn dat betrokken is geweest bij een datalek of een zwak wachtwoord als ‘Welkom123’ of ‘Welkom2022!’. Eenmaal binnen probeer ik vervolgens, afhankelijk van de opdracht, zo ver mogelijk in de systemen binnen te dringen. Bij IT-beheerders zoals Open Line probeer ik ook in de stepping stone omgeving van hun klanten te komen. Na afloop maak ik een rapportage op met bevindingen en aanbevelingen. Maar als ik tijdens de opdracht op een groot risico stuit, meld ik dat natuurlijk direct.” Eric: “Wij zijn managed service provider van een honderdtal bedrijven en organisaties, van lokale overheden en zorginstellingen tot woningbouwcorporaties en ondernemingen in de productie, logistiek en handel”. Goede informatiebeveiliging is een belangrijk onderdeel van ons visitekaartje. Daarom laten wij regelmatig pentests uitvoeren. Met de aanbevelingen die daar uit volgen kunnen we onze beveiliging én die van onze klanten continu blijven verbeteren.”
Ik ben van mening dat als het écht je doelstelling is om je beveiliging te verbeteren, je wel op deze manier moet werken. Veel bedrijven laten echter een pentest uitvoeren om een ‘compliance vinkje’ te kunnen zetten. Die zitten er eigenlijk niet echt op te wachten om geconfronteerd te worden met eventuele zwakheden.”
Eric IJpelaar, Security & Privacy Officer bij Open Line
Samenwerking Hoffmann & Open Line
Mathijs: “Eric en ik zijn met elkaar in contact gekomen via een klant van Open Line, waar ik een pentest uitvoerde.” Eric: “Wij moesten daarbij ondersteunen en vanuit die contacten zijn wij zelf ook met Hoffmann in zee gegaan. Mathijs heeft nu twee keer een pentest bij Open Line uitgevoerd. Op dit moment zijn we intern in gesprek over wat we komend jaar gaan doen. Mogelijk komt er ook nog een stukje social engineering bij.” “In de IT-industrie is het best practice om ieder jaar een andere pentester te nemen, maar daar ben ik geen voorstander van,” vervolgt Eric. “Een pentester heeft maar beperkt de tijd, in die korte periode kan hij niet van alle ins en outs van een bedrijf op de hoogte zijn. Als je een pentester vaker inzet, kent hij de omgeving al en is de kans groter dat hij nieuwe zwakheden boven tafel brengt. Ik ben van mening dat als het écht je doelstelling is om je beveiliging te verbeteren, je wel op deze manier moet werken. Veel bedrijven laten echter een pentest uitvoeren om een ‘compliance vinkje’ te kunnen zetten. Die zitten er eigenlijk niet echt op te wachten om geconfronteerd te worden met eventuele zwakheden.”
Op de vraag wat Eric’s ervaringen met Hoffmann zijn antwoordt hij: “De samenwerking met Mathijs verloopt goed. Tijdens de pentest hebben we regelmatig contact. En als hij zijn conceptrapportage af heeft, lopen we altijd samen door de bevindingen heen en kijken we welke mitigerende maatregelen er mogelijk zijn. Het is een illusie om te denken dat een pentester niets vindt, Mathijs vindt altijd iets. Maar dat doet een hacker ook.” “100% beveiliging bestaat niet”, besluit Mathijs. “Je bent nu eenmaal afhankelijk van de factoren mens, techniek en organisatie. Zelfs als je het technisch en organisatorisch 100% op orde zou hebben, kunnen hackers via je medewerkers vaak alsnog binnenkomen.”