Wij krijgen als ICT beveiligings bedrijf steeds meer de vraag naar pentesten. De naam pentest komt van de langere term penetratie testen. Hiermee bedoelen we het penetreren van software en/of hardware, met als belangrijkste doel het vinden van kwetsbare plekken in systemen. Als je weet dat er kwetsbaarheden in je systeem zitten dan moet je maatregelen nemen, zodat deze beveiligingslekken zo snel mogelijk worden opgelost. Helaas zien wij echter steeds vaker dat pentesten verkeerd toegepast word. In dit artikel laten we een aantal problemen zien die we tegenkomen op dit gebied.
Je weet niet welk soort type pentest je wilt?
Er zijn diverse soorten pentesten. Wij geven bijvoorbeeld Blackbox- en Whitebox-methoden.
Bij een Blackbox-test hebben wij weinig informatie van wat er allemaal achter de applicaties, servers en/of structuur zit. Daardoor kunnen wij ons tijdens het testen precies zo opstellen als een hacker die dit vanaf het internet ook zou doen.
Bij een Whitebox-test hebben we wel toegang tot bijvoorbeeld de handleiding van een applicatie, netwerktekeningen en soms zelfs tot het gehele systeem/platform of de broncode. Zo kunnen we diverse soorten kwetsbaarheden vinden die je anders bij een Blackbox-test heel moeilijk kunt detecteren. Ook geven we bij een Whitebox-test een antwoord de vragen die we voor een
Blackbox-test hanteren.
Beveiligingslekken pentest
Als je een pentest uitvoerd is het belangrijk om vooraf goed te weten wat je wilt laten testen. De uitslag van de test bepaalt, naast de specifieke tijd, ook de vaardigheden die een pentester nodig heeft een goede scan te maken. Een pentest levert nog andere vragen op zoals: De kosten en wanneer je alleen je active directory laat pentesten.
Iemand wilt regelmatig een webapplicatie laten scannen op kwetsbaarheden (vulnerabilities), zonder het gehele onderliggende (web)server systeem mee te nemen. Bedrijven onderschatten dit vaak en denken dat ze niet gehackt kunnen worden, maar als de onderliggende webserver lekken heeft, kun je alsnog gehackt worden.
De klant heeft een andere bedoeling
Bij een pentest komt er veel handwerk en intelligentie bij kijken, daarom heb je mensen nodig. Voor veel IT-systemen is dat echter een grote uitdaging, omdat dit ook veel kosten opleverd als bedrijf zijnde. Er zijn namelijk ook geautomatiseerde testen, die op een grote schaal kwetsbaarheden scannen. De SecPoint Penetrator is een voorbeeld van krachtige scannen. Heeft jouw organisatie nog nooit een beveiligingsscan laten uitvoeren, dan is het vaak goedkoper om eerst hiervoor een keuze te maken. Niet alleen vinden deze scanners een heleboel kwetsbaarheden die je als organisatie moet oplossen, maar ze geven ook een duidelijk beeld in de infrastructuur die extra aandacht nodig hebben. Dit laatste helpt weer om de scan van een eventuele pentest te bepalen.
Geen tijd, kennis of mativatie
Wanneer je als bedrijf een pentest wilt laten uitvoeren om aan derden aan te tonen dat zij ‘betrouwbaar’ is, dan heb je de verkeerde motivatie. Een expert zal nooit zeggen dat je geen risico lopt. Dit is namelijk nooit te garanderen en te voorkomen. Kans op een probleem blijft, welke maatregelen je ook neemt.
Er zijn ook bedrijven die door hun auditor gevraagd worden een pentest scan uit te laten voeren. Als je een pentest uit laat voeren zonder effectief met de oplossingen aan de slag te willen gaan, dan ben je wat ons betreft niet goed gemotiveerd.
Maatregelen om schade te beperken ontbreken
Bij een pentest bedenkt de security engineer talloze manieren om in je systeem te komen. Hier kunnen werkzaamheden bijhoren die ervoor kunnen zorgen dat een systeem offline gaat. In een ergste geval kan een systeem worden aangetast dat er een back up van teruggezet moet worden. Gelukkig komt dit probleem zelden voor, maar als opdrachtgever moet je er wel rekening mee houden dat de mogelijkheid er is. Het is dus belangrijk ervoor te zorgen dat je altijd een plan heb om schade te voorkomen.
Onze conclusie
Een pentest kan in veel gevallen een perfecte goede uitkomst bieden. In sommige gevallen is dit echter niet het geval. Bedenk daarom van goed welk type pentest je wilt laten uitvoeren, welke motivatie je hebt om de test uit te laten voeren en of er voldoende maatregelen zijn genomen om eventuele schade van de pentest te voorkomen. De SecPoint Penetrator is de ideale software om een pentest uit te voeren. Neem contact met ons op voor meer informatie of advies!