Door: Leander, Security consultant bij Hoffmann
“We denken wel dat we de IT-beveiliging goed geregeld hebben, maar moeten we niet eens toetsen of het echt zo is?” Een terechte vraag die steeds meer organisaties zichzelf stellen. Want de dreiging neemt alsmaar toe. Een pentest geeft inzicht in de grootste risico’s die jouw organisatie loopt als het gaat om cyberaanvallen en in wat je kunt doen om het beveiligingsniveau te verhogen. In dit artikel beantwoorden we een aantal verdiepende vragen over pentests.
1. Waarom pentests?
Criminelen worden steeds creatiever en ondanks dat veel organisaties investeren in de nodige IT-beveiliging, worden te vaak dingen over het hoofd gezien. Denk aan zoiets simpels als de toegangshekken op het bedrijfsterrein. Als deze digitaal bestuurd worden, kunnen hackers het signaal onderscheppen en de poort openen op een onbewaakt moment. Een ander voorbeeld is de twee-factor authenticatie, waarbij je met een tijdelijke unieke code moet inloggen. Het is goed dat organisaties steeds vaker dergelijke maatregelen treffen, maar als je dit voor een belangrijk systeem (zoals webmail) niet afdwingt, kan men via deze route alsnog eenvoudig inbreken. Een goed georganiseerde pentest legt dergelijke zwakke plekken in de IT-infrastructuur van een organisatie bloot en bevat aanbevelingen om het beveiligingsniveau te verhogen.
2. Is iedere organisatie genoodzaakt een pentest uit te voeren?
Veel bedrijven vinden zichzelf geen spannend doelwit voor cybercriminelen. Helaas onterecht. Organisaties met een kritieke infrastructuur of met een politiek-maatschappelijk belang lopen op het eerste gezicht het grootste risico op een gerichte cyberaanval. Maar in principe kunnen kwaadwillenden in iedere organisatie schade aanrichten. Vaak kijken zij niet eens wát er te halen valt, maar hoe makkelijk zij binnen kunnen komen.
Als een crimineel bijvoorbeeld toegang krijgt tot de locatie waar facturen worden opgeslagen, kan hij vaak heel eenvoudig én onopgemerkt valse facturen maken en versturen. En wanneer de algemene website van een organisatie wordt aangepast of verstoord, dan kan dat reputatieschade opleveren omdat de beveiliging blijkbaar niet goed op orde was. Verder zijn er voorbeelden van scriptkiddies of studenten die dingen voor de kick proberen, of iets zien als een uitdaging, met soms onverwachte gevolgen. In sommige situaties zijn kwaadwillenden in staat om de volledige bedrijfsvoering stil te leggen. Dus ‘ja’, iedere organisatie is potentieel doelwit van cybercriminaliteit en zal hierom zo nu en dan een pentest moeten uitvoeren.
3. Hoe vaak moet een organisatie een pentest ondergaan?
De techniek blijft alsmaar veranderen en systemen, netwerken en applicaties worden continu doorontwikkeld. Voor iedere organisatie is het daarom verstandig om jaarlijks een pentest uit te laten voeren om te checken of ze nog bestand is tegen de creatieve aanvalstechnieken van morgen. Ook na het doorvoeren van veranderingen in de IT-infrastructuur is een pentest noodzakelijk. Denk aan het overstappen naar opslag in ‘de cloud’, het vervangen van het CRM pakket, veranderingen in het draadloze netwerk, het in gebruik nemen van nieuwe applicaties, etc. Tijdens deze ingrepen kan het voorkomen dat er zwakke plekken in de IT-beveiliging ontstaan. Stuk voor stuk momenten om de thermometer er weer in te steken.
4. Wat zijn de bezwaren?
Wat je vaak hoort is dat de ICT afdeling wel weet dat er zaken beter kunnen, maar vanwege een diversiteit aan taken en continue drukte, wordt een pentest vaak op de lange baan geschoven. En iedereen weet: systeembeheer is eigenlijk nooit klaar. Juist een pentest is daarom verstandig om inzicht te krijgen in wat op dat moment de grootste risico’s zijn en welke prioriteit behoeven, zodat hier direct actie op kan worden ondernomen. Bovendien zien veel organisaties IT simpelweg nog als een kostenpost terwijl het inmiddels een essentieel onderdeel van de bedrijfsvoering is geworden.
Onze consultants proberen de vraag achter de vraag concreet te maken tijdens de uitgebreide intake vooraf. Naast de risico’s die voor iedere organisatie gelden, proberen we de kernbelangen van de organisatie in kaart te brengen."
5. Hoe bepaal je als organisatie wat er exact getest moet worden?
De vragen binnen organisaties kunnen heel erg uiteenlopen. Van ‘ik wil aan de wet voldoen als het gaat om systeem A’ en ‘wat als je nu toegang hebt tot het interne netwerk, wat kan je dan allemaal’ tot ‘hoeveel tijd en moeite kost het om het signaal van de afstandsbediening van ons hek op te vangen en deze open te zetten?’
Wat wij zien is dat opdrachtgevers hun kernvraag vaak niet helder voor ogen hebben. De gemiddelde pentester vraagt niet door en begint als het ware vrij te schieten tijdens de pentest. Zonder vooraf de achterliggende onderzoeksvraag te achterhalen, kijken zij tijdens het testen vooral naar of ze iets ‘leuks' kunnen vinden. Exact op dit punt komt het onderscheidend vermogen van Hoffmann om de hoek kijken. Onze consultants proberen de vraag achter de vraag concreet te maken tijdens de uitgebreide intake vooraf. Naast de risico’s die voor iedere organisatie gelden, proberen we de kernbelangen van de organisatie in kaart te brengen. In de testaanpak bepalen we vervolgens welke zaken getest moeten worden, op welke wijze en met welke mate van diepgang.
6. Hoe wordt er getest?
Bij pentesten gaan we binnen een bepaald tijdsbestek (timebox) gericht op zoek naar kwetsbaarheden in specifieke systemen, applicaties of netwerken. Vooraf bepalen we welke toegangsdeuren mogelijk een risico vormen en dus worden meegenomen in de test. Pentesters gaan gericht aan de slag om deze te testen op hun kwetsbaarheid. Per onderdeel bepalen we met hoeveel voorkennis dit wordt getest: whitebox, greybox, blackbox of een combinatie hiervan.
Is een organisatie al bekend met pentesten en wil zij hierin een stapje verder gaan? Dan kiezen zij vaak voor een realistisch nagebootste cyberaanval door middel van red teaming.
7. Wat is het resultaat van een pentest?
Het eindproduct is een rapport waarin we altijd beginnen met een heldere managementsamenvatting. Dit is het gedeelte waarvan we willen dat iedereen in de organisatie, ongeacht functie of kennisniveau, dit begrijpt. De boodschap aan het management zijn de concrete aandachtspunten om het beveiligingsniveau te verhogen. In het tweede gedeelte kijken we als het ware mee in het dagboek van de hacker. Hierin omschrijven we de stappen die zijn doorlopen om de resultaten te behalen. Dit wordt ondersteund door screenshots en technische details. Vervolgens lichten we de concrete acties toe die beheerders of ontwikkelaars dienen te ondernemen om de gevonden gebreken op te lossen of de impact van misbruik te beperken.
In de rapportage laten we niet alleen zien wáár we kwetsbaarheden kunnen misbruiken, maar doen het ook echt. Toen wij bijvoorbeeld een pentest uitvoerden bij een onderwijsinstelling, verkregen wij al snel beheerrechten. Door ook echt te laten zien dat we bijvoorbeeld examencijfers konden aanpassen, begrepen betrokkenen dat dit hun kerntaken raakte en werd de impact pas goed begrepen."
Meer informatie?
Benieuwd in hoeverre de IT-beveiliging in jouw organisatie te hacken is door cybercriminelen? Laat dit regelmatig controleren door middel van een periodieke pentest en ontdek met welke maatregelen de IT-beveiliging up-to-date blijft. Lees alles over pentesten en kies voor de hackers van Hoffmann.
U kunt ook altijd vrijblijvend contact met ons opnemen.