Vulnerability assessments en penetratietests – wat is het verschil?
Wat is nu het verschil tussen een penetratietest, ook wel pentest genoemd, en een...
Wat is nu het verschil tussen een penetratietest, ook wel pentest genoemd, en een vulnerability assessment? In dit blog leggen we dat haarfijn uit en geven we aan welk scenario voor uw organisatie de beste keuze is. Welke keuze u ook maakt, beide aanpakken helpen uw organisatie om hackers een stapje voor te blijven!
Wat zijn vulnerability assessments?
Bij een vulnerability assessment of kwetsbaarhedenonderzoek voeren we verschillende tests uit op bepaalde websites, webapplicaties, IP-adressen en ranges. Daar gebruiken we geautomatiseerde scanprogramma’s voor – commerciële én opensource. Met name die laatste zijn ook populair bij kwaadwillende hackers en dus nuttig voor ons onderzoek.
Grofweg hanteren we bij een vulnerability assessment de volgende stappen:
- Identificatie van alle aangesloten bronnen in het IT-systeem van een organisatie.
- Lijst opstellen van waardevolle assets, op volgorde van prioriteit.
- Uitvoeren van het assessment van alle bekende kwetsbaarheden over de gehele aanvalslinie; dus van loginschermen tot URL-parameters en mailservers.
Wat is een pentest?
Bij een penetratietest of pentest bootsen we een aanval door een hacker na. Dat doen onze pentesters door in het systeem te zoeken naar kwetsbaarheden. Zodra ze die vinden, proberen ze er misbruik van te maken en bekijken ze wat een hacker ermee kan: toegang tot het systeem krijgen, wachtwoorden achterhalen, data extraheren of versleutelen. Met publieke en gesloten databases gaat de pentester na welke exploits op de kwetsbaarheid kunnen worden toegepast – die gebruikt de pentester om het systeem binnen te komen, ook als hij of zij bestaande exploits moet aanpassen of nieuwe moet ontwikkelen om het doel te bereiken.
Pentesten met het label ‘black box’ voeren we uit zonder enige voorafgaande kennis van het netwerk, van de organisatie en zonder toegang tot broncode en dergelijke. Deze manier van pentesten lijkt het meest op de aanpak van een kwaadwillende hacker.
Wat kan ik van beide benaderingen verwachten?
Daarvoor moet u de vraag eigenlijk omdraaien: wat wilt u met het onderzoek bereiken?
Een vulnerability assessment verschaft duidelijkheid over alle zwakke plekken in de infrastructuur en het netwerk. Een pentest laat zien hoe hackers uw systeem kunnen binnendringen en welke schade ze dan kunnen aanrichten. Dit gebeurt vaak maar via een enkele kwetsbaarheid. De maatregelen die een organisatie treft na een van deze testen kunnen dus ook nogal van elkaar verschillen.
Vulnerability-assessmentrapport over alle kwetsbaarheden
Van een kwetsbaarhedenonderzoek komt een automatisch gegenereerd rapport met de resultaten: een opsomming van de aangetroffen kwetsbaarheden, gerangschikt naar ernst en bedrijfsrisico.
In aanvulling op dit automatisch gegenereerde rapport leveren we ook een handmatig geproduceerd rapport met een zogeheten real world risk score. Dat geeft antwoord op de vraag of mogelijke kwetsbaarheden met een gemiddeld risico gezamenlijk kunnen veranderen in een hoog of zelfs kritiek risico. Maar het kan ook zijn dat er voor kritieke bevindingen mitigerende factoren zijn of dat een kwaadwillende hacker of malware meer informatie nodig heeft om werkelijk misbruik te kunnen maken van het systeem.
Een real world risk score wordt ook beïnvloed door de volgende elementen:
- het systeem/de applicatie waarop of waarin de kwetsbaarheid zich bevindt
- de moeilijkheidsgraad om de kwetsbaarheid te misbruiken
- verzachtende factoren
- afhankelijkheid van kwetsbaarheden en exploits
De rapporten geven de organisaties handvatten hoe ze aangetroffen kwetsbaarheden kunnen oplossen. Ook krijgen ze aanbevelingen om de cybersecuritymaatregelen gerichter uit te voeren waardoor de kans op schade door cyberaanvallen verkleind wordt. Ook komt er in het advies terug hoe organisaties beter kunnen anticiperen op aanvallen en de negatieve effecten ervan kunnen beperken.
Pentestrapporten gaan uitgebreid in op de gebruikte aanvalsmethode
Na zijn onderzoek beschrijft een pentester in een rapport de aanvalsmethode of exploits, en welke gegevens precies kunnen worden gecompromitteerd. Ook staat in dit rapport wat een hacker met de gegevens kan doen en hoe het de business raakt. Zo krijgen directieleden, managers en niet-technische medewerkers, die de technologie achter de tests misschien niet helemaal begrijpen, snel een beeld van de gevolgen die een aanval op het bedrijf kan hebben.
Belangrijk om te weten is dat een pentester de kwetsbaarheden niet beoordeelt. Het enige doel van een pentest is immers kijken of een aanval überhaupt mogelijk is.
Wat is voor mijn organisatie het best?
Om daar antwoord op te kunnen geven, is het belangrijk om te weten hoe volwassen de cyber security van uw organisatie is. Welke beveiligingsmentaliteit heerst er onder medewerkers en binnen het bedrijf?
Pentests tonen de scheurtjes in uw beveiligingsarchitectuur
Pentests zijn heel specifiek en daarom zijn deze tests het meest geschikt voor omgevingen waarvan de web- en netwerkbeveiliging zeer robuust is, of op zijn minst zo wordt beschouwd. Organisaties kunnen de tester vragen om een specifieke handeling uit te voeren. Bijvoorbeeld: ‘Probeer toegang te verkrijgen tot een database met transactie- of bankgegevens’ of: ‘Probeer een bepaald record te wijzigen of te verwijderen’. Het doel hiervan is om met de kennis die dat oplevert de blootstelling aan bepaalde risico’s te verkleinen.
Pentesters zoeken simpelweg naar zwakke plekken in de architectuur. Waar testers bij vulnerability assessments vooral kijken naar kwetsbaarheden en misconfiguraties in de systemen, maken pentesters vaak ook gebruik van phishing, social engineering en bezoeken op locatie om hun doel te bereiken. Zij doen eigenlijk precies hetzelfde als kwaadwillende hackers zouden doen. Zo kan een pentester bijvoorbeeld proberen om ongemerkt verbinding te maken met een server om vervolgens aan te tonen dat er vertrouwelijke gegevens vandaan te halen zijn. Dit is een goede manier om te laten zien waartoe aanvallers in staat zijn. Een pentester kan zo een eindeloze reeks aanvallen uitvoeren.
Ons advies is om minstens eenmaal per jaar een pentest te laten uitvoeren.
Welke scenario’s kunnen mij helpen een keuze te maken?
Vulnerability assessments en pentests moeten worden uitgevoerd op webomgevingen, netwerkapparaten en interne en externe servers. Het is heel belangrijk om erachter te komen of een aanval van buitenaf kan worden uitgevoerd (bijvoorbeeld door een kwaadwillende aanvaller die zich richt op openbare doelen op het internet) of van binnenuit (bijvoorbeeld een ontevreden werknemer of klant, een gebruiker met rechten die hij niet zou moeten hebben, of een met malware of ransomware geïnfecteerd apparaat in het interne netwerk).
Vulnerability assessments helpen ondernemingen te voldoen aan de normen
Sommige organisaties zijn verplicht volgens bepaalde standaarden te werken: zo zijn er ISO27001/2, NEN7510 of andere normen en wetten waaraan ze moeten voldoen. En de Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties om passende technische en organisatorische maatregelen te nemen rondom de beveiliging van persoonsgegevens. Organisaties die willen weten of zij met hun huidige architectuur, systemen en apparaten bijvoorbeeld een AVG-test zouden doorstaan, hebben veel aan een vulnerability assessment.
Pentests helpen organisaties hackers een stapje voor te blijven
Pentesters bekijken de beveiliging vanuit een ander perspectief. Testers leggen beveiligingsrisico’s op dezelfde manier bloot als hackers – door aanvallen uit te voeren met maar één doel voor ogen: toegang krijgen! U kunt pentesters het best een brede opdracht geven. Laat ze hun gang maar gaan met aanvallen die u voor ze hebt bedacht of die er op grond van hun eigen ervaringen in hen opkomen.
En de testers dan?
Bij de keuze tussen een vulnerability assessment of een pentest komt ook de vraag wie de test uitvoert naar voren. Kiest u voor externe expertise of liever voor een in-house tester?
Cybersecurity experts zorgen voor continue verbetering van de beveiligingsstatus
Vulnerability assessments zijn geen kwestie van een druk op de knop waarna de test zich voltrekt. Hoewel het vulnerability assessment deels geautomatiseerd is, moet degene die de test uitvoert opgeleid zijn en veel ervaring hebben. Hij moet weten wélke omgevingen en aanvalsoppervlakken moeten worden onderzocht en ook wát er precies moet worden onderzocht aangezien de geautomatiseerde beveiligingsscanners nog wel moeten worden geconfigureerd. Bovendien moet hij in staat zijn om de resultaten van het assessment te interpreteren, een juiste risico inschatting maken én te weten wat er vervolgens moet gebeuren.
In-house cybersecurity experts die verantwoordelijk zijn voor de vulnerability assessments zorgen ervoor dat de beveiligingsstatus van hun organisatie continu verbetert. Allereerst stellen ze een uitgangswaarde vast om die verbetering te kunnen meten. Verder dragen zij eraan bij dat het bewustzijn binnen hun organisatie wordt vergroot en dat het aantal beveiligingsrisico’s continu afneemt. Daarnaast vergroten zij hun kennis en vaardigheden voortdurend. En zij zijn loyaler aan de organisatie waarin zij werken dan ingehuurde professionals.
Er zijn echter onvoldoende ervaren mensen actief in het cybersecurity vakgebied waardoor het moeilijk en kostbaar is om in-house cybersecurity experts aan uw organisatie te binden. Het inhuren van externe professionals is daarvoor een oplossing met als extra voordeel dat ze onafhankelijk opereren in uw organisatie.
Pentesters zeggen waar het op staat
Ook pentesters moeten ervaren professionals zijn die beschikken over specifieke vaardigheden.
De meeste professionals in deze branche vinden dat pentesters onafhankelijke, externe professionals moeten zijn. Zij moeten op voldoende afstand staan van uw organisatie zonder beperkt te worden door kwesties als financiële veiligheid, loyaliteit of politiek. Alleen dan kunnen zij de botte waarheid zeggen over uw beveiligingsstatus, ook al doet dit pijn!
Wat mag het kosten?
De prijs van een vulnerability assessment hangt af van de scope van de opdracht. Voor kleine organisaties zullen de kosten een stuk lager zijn dan voor een grote onderneming met duizenden potentieel kwetsbare machines, IP-adressen en internet hosts.
Wat het ook kost, een vulnerability assessment zal altijd tot een hoger rendement leiden. Want hoe diep een pentester ook in uw systeem duikt, hij onderzoekt altijd maar één aspect in een bepaalde richting. Vulnerability assessments gaan verder en geven een accuraat en breed beeld van het beveiligingsniveau van een onderneming.
Dus, waar kiezen we voor? Pentest of assessment?
Gewoon voor alle twee. Beide benaderingen zijn in staat om beveiligingsgaten te onthullen en minder opvallende kwetsbaarheden te herkennen waar u nog nooit aan had gedacht. Eén ding staat vast: als u niet scant of test, verliest u zeker gegevens. De vraag is alleen wanneer.
Bij een volwassen, preventieve aanpak maken vulnerability assessments en scans deel uit van een Information Security Management System (ISMS). U huurt vervolgens ethical hackers in die hetzelfde doen als echte hackers, maar dan zonder de schadelijke gevolgen. Na het lezen van alle rapporten en resultaten en het beoordelen van de aanbevelingen kunt u een gedegen beslissing nemen over hoe u het beveiligingsniveau binnen uw organisatie hooghoudt en hoe u de slechteriken een stapje voor blijft.