Digitale aanvallen worden steeds geraffineerder. Voor uw organisatie is het dus van belang om uw digitale weerbaarheid structureel op orde te houden. Juist tijdens de zomermaanden, als de personele bezetting lager is, is de kans op cyberincidenten groter. Medewerkers zijn op vakantie, waarnemers zijn minder goed ingewerkt en incidenten blijven soms (langer) onopgemerkt. Dit biedt cybercriminelen meer gelegenheid om toe te slaan. Daarom is het verstandig om in de maanden mei en juni een pentest uit te voeren. Dan kunt u met een gerust hart de zomer in.
Wat is een pentest?
Bij een pentest (penetratietest) testen specialisten uw IT-omgeving. Het doel is om kwetsbaarheden in systemen, netwerken en applicaties op te sporen en de mogelijke gevolgen van die zwakke plekken te beoordelen, voordat kwaadwillenden dat doen.
Een pentest wordt vaak verward met een kwetsbaarhedenscan. Een kwetsbaarhedenscan is vooral gericht op bekende technische zwakheden, zoals verouderde software of openstaande poorten. Deze scan is nuttig als basis, maar heeft weinig diepgang en geeft onvoldoende inzicht in de impact van kwetsbaarheden. Bij een pentest wordt daarop voortgebouwd en onderzocht of en hoe deze kwetsbaarheden in de praktijk kunnen worden misbruikt.
Waarom testen vóór de zomer?
Bij Hoffmann zien we elk jaar een vergelijkbaar patroon. Organisaties zijn in het eerste en laatste kwartaal van het jaar actief bezig met het verbeteren van hun cyberveiligheid. In de tussenliggende maanden lijkt de aandacht voor dit onderwerp echter af te nemen. Dat is opvallend, juist omdat de zomermaanden extra risico's met zich meebrengen: minder toezicht, afwijkende werkprocessen en tijdelijke vervangingen kunnen de deur op een kier zetten. Uit onderzoek blijkt dan ook dat het aantal cyberaanvallen in de zomermaanden met wel 30% toeneemt.
Door in mei of juni een pentest te laten uitvoeren, houdt u die deur beter gesloten en signaleert u bestaande kwetsbaarheden voordat zij kunnen worden benut. Daarmee voorkomt u dat onopgemerkte zwakke plekken tijdens een minder goed bezette periode leiden tot een serieus beveiligingsincident.
De aanpak van Hoffmann: van scan tot inzicht
Een pentest bij Hoffmann verloopt in verschillende stappen, waarbij we altijd starten met het in kaart brengen van het aanvalsoppervlak. Wij maken hierbij gebruik van open bronnen maar ook van aanvullende informatie van de klant.
Met een kwetsbaarhedenscan worden de eerste risico’s in beeld gebracht: het ‘laaghangend fruit’ dat snel kan worden aangepakt.
Er wordt vaak onderscheid gemaakt tussen drie veel voorkomende soorten pentesten:
-
Externe pentest
Na de eerste fase gaan onze ethische hackers handmatig aan de slag. Zij analyseren de resultaten van de scan en proberen in een gecontroleerde omgeving de gevonden kwetsbaarheden daadwerkelijk te benutten. Zo krijgen we inzicht in de reikwijdte van een mogelijk incident: kan een aanvaller bijvoorbeeld toegang krijgen tot vertrouwelijke gegevens of interne systemen?
-
Interne pentest
Hierbij testen wij, op locatie, de toegang tot uw netwerk, bijvoorbeeld via het (gasten)wifi of fysieke aansluitingen. Vervolgens onderzoeken we de afscheiding en toegang tot systemen en servers onderling, zowel in de cloud als “on premise”. Daarnaast worden eventuele kwetsbaarheden in randapparatuur en netwerkprotocollen onderzocht. Zelfs componenten als printers kunnen een ingang vormen voor indringers.
-
Thuiswerkplek
Het thuiswerkplek onderzoek is een mix van een externe test en interne test. Hierbij onderzoeken wij de toegang tot de thuiswerkplek. Gebruikmakend van een testaccount onderzoeken wij de beveiliging van werkplek zelf. Daaronder valt ook onderzoek naar de mogelijkheid voor gebruikers om over te stappen naar andere systemen of bijvoorbeeld het ophogen van gebruikersrechten.
Niet eenmalig, maar structrueel onderhoud
Kwetsbaarheden kunnen op elk moment ontstaan: door updates, nieuwe software of nieuwe aanvalstechnieken. Daarom is een pentest geen eenmalige oplossing, maar een periodieke controle die helpt om uw digitale omgeving in goede conditie te houden. Vergelijk het met de jaarlijkse APK-keuring van uw auto.
Door structureel te testen – minimaal één keer per jaar – controleert u de effectiviteit van de door u genomen beveiligingsmaatregelen, en houdt u grip op de digitale weerbaarheid van uw organisatie.
Tot slot
De zomerperiode vraagt om extra alertheid op cyberdreigingen. Een goed geplande pentest vóór de zomervakantie helpt u om voorbereid te zijn en risico’s tijdig te ondervangen. Onze aanpak geeft inzicht én concrete verbeterpunten voor uw digitale beveiliging.
Meer weten?
Wilt u meer weten over wat een pentest voor uw organisatie kan betekenen? Neem dan gerust contact met ons op voor een vrijblijvend gesprek.
Onze consultants vertellen u er graag meer over.