
Zonder testen weet je niets
Testen is het enige wat zekerheid biedt: Het brengt de risico's in beeld zodat je er wat aan kan doen.
Kwetsbaarheid testen
Een vulnaribility test is een de eenvoudige variant van een PEN test. Bij een PEN test gebruikt de hacker geautomatiseerde tools én gaat hij handmatig te werk om zoveel mogelijk kwetsbaarheden van uw ICT aan het licht te brengen. Een kwetsbaarheidstest maakt alleen gebruik van geautomatiseerde tools die ervoor zorgen dat reeds bekende kwetsbaarheden (exploits) aan het licht komen.
Prima voor een eerste indruk van het risico dat u loopt als organisatie of bedrijf of als de afhankelijkheid van uw ICT omgeving niet zo heel hoog is.
Verschillende scenario's
Net als bij een PEN test zijn er meerdere mogelijkheden. U kunt een kwetsbaarheidstest laten uitvoeren op een bepaalde applicatie, op een website of webshop, een bepaalde locatie of natuurlijk op uw complete ICT omgeving inclusief systemen van derden die in uw ICT omgeving actief zijn. Denk daarbij aan camerasystemen, gebouwenbeheersystemen, kasssa-systemen en zo meer
De opzet is ongeveer identiek als bij een PEN test. Er volgt eerst een intake-gesprek waarin de scope van de opdracht wordt bepaald, vervolgens vindt de test zelf plaats en wordt er nadien gerapporteerd en eventueel gerepareerd. Dat laatste altijd al apart onderdeel omdat je nu eenmaal niet van te voren kunt weten wat je tegenkomt.
Tarief
Een kwetsbaarheidstest kan al worden uitgevoerd vanaf € 1.000,=
Meer arrestaties na datadiefstal GGD
De politie heeft tot dusver zes verdachten aangehouden in verband met datadiefstal bij de GGD. Dat meldt de politie maandag.
De mensen worden verdacht van het doorverkopen van persoonsgegevens uit GGD-systemen. Het cybercrimeteam van Midden-Nederland startte op 22 januari een onderzoek, nadat de GGD meldde dat er op de chatdienst Telegram persoonsgegevens uit GGD-systemen werden verkocht.
Op 23 januari hield de politie twee medewerkers van een GGD-callcenter aan. Sindsdien zijn er nog vier mannen aangehouden. Een achttienjarige man uit Den Haag werd vorige week vrijdag als zesde aangehouden.
Eerder bleek uit onderzoek van RTL Nieuws dat miljoenen privégegevens van Nederlanders uit GGD-systemen illegaal zijn verhandeld. Handelaren boden woonadressen, telefoonnummers en burgerservicenummers van Nederlanders aan voor bedragen van tussen de 30 en 50 euro. De informatie kan onder meer worden misbruikt voor identiteitsfraude.
De politie noemt het stelen en verkopen of doorverkopen van deze data "een ernstig misdrijf". Het onderzoek loopt nog en de politie en het Openbaar Ministerie (OM) sluiten meer aanhoudingen niet uit.
PEN Testing
PEN test is een afkorting van ‘penetration testing’. Bij een PEN test kruipen onze pentesters in de huid van een hacker. Ze proberen op allerlei manieren en met alle mogelijke middelen, zowel geautomatiseerd als handmatig, toegang te krijgen tot uw ICT-omgeving. Op die manier leggen ze de zwakke plekken van uw website, applicatie of zelfs gehele IT-infrastructuur bloot. Na afloop van een PEN test kunnen we aan de hand van het rapport de gevonden kwetsbaarheden verhelpen.
Omdat de afhankelijkheid van ICT systemen zeer groot is, is een PEN test aanbevelenswaardig voor elke organisatie of bedrijf.
Welke verschillende testmethoden zijn er?
Er zijn drie testmethoden te onderscheiden. Er is niet zoiets als een ‘beste’ methode, iedere methode heeft zijn eigen specifieke voor- en nadelen.
1. Black box
Bij een black box PEN test krijgt de hacker/tester vooraf geen enkele informatie over de IT-infrastructuur. Wél wordt in veel gevallen een scope afgesproken om een volledig onderzoek te garanderen. Omdat de PEN tester geen voorinformatie heeft naast de scope, maar wel gelimiteerd is door tijd en budget, is deze testvariant doorgaans de minst grondige. Black box-testing is nuttig wanneer je bijvoorbeeld voor de eerste keer een test uitvoert en een algemeen beeld wilt krijgen van het beveiligingsniveau.
2. Grey box
Een grey-box-test houdt het midden tussen een black box- en een white box-test. De PEN testers krijgen hierbij van tevoren beperkte informatie over de IT-infrastructuur, zoals een klant-/medewerkersaccount.
Dat laatste is van belang omdat veel hacks (denk aan de GGD-hack tijdens de Corona crisis) van binnenuit plaatsvinden.
Grey-box-testen zijn doorgaans minder grondig dan white-box-testen, maar hebben wel een realistisch uitgangspunt. De PEN testers beschikken hiermee over ongeveer evenveel voorkennis als bijvoorbeeld een (rancuneuze) medewerker of een goed geïnformeerde hacker. Grey-box-onderzoeken worden bijvoorbeeld vaak toegepast om te kijken hoe veilig een omgeving is vanuit een klant- of medewerkersperspectief.
3. White box (ook wel: clear box of glass box)
De PEN testers krijgen met een white box-PEN test vooraf volledige openheid van zaken. Daardoor kunnen zij de PEN test zeer grondig uitvoeren. Het nadeel van deze methode is dat het veel tijd kost, omdat de gehele scope tot in detail onderzocht wordt. Deze methode wordt veelal toegepast op een beperkte scope, bijvoorbeeld een applicatie die zeer belangrijk (bedrijfskritisch) is voor de klant.
Hoe lang duurt een PEN test?
De duur van een PEN test is geheel afhankelijk van het beoogde doel, de gekozen methode en het beschikbare budget. Sommige PEN tests zijn heel specifiek gericht op een bepaalde website of applicatie. Andere PEN tests zijn breder gericht, vaak zelfs op de gehele IT-infrastructuur. Afhankelijk van de grootte en complexiteit daarvan kan een PEN test een aantal weken in beslag nemen.
Hoe grondig is een PEN test?
Ook hier geldt: de grondigheid van een PEN test hangt af van de situatie, het doel en het beschikbare budget. Grofweg zijn er twee verschillende typen PEN tests die de duur en grondigheid bepalen:
1. Timeboxed PEN test
De PEN test vindt plaats binnen een afgesproken maximale tijdsduur. Binnen de beschikbaar gestelde tijd worden zoveel mogelijk kwetsbaarheden in kaart gebracht.
2. Non-Timeboxed PEN test
Bij een uitvoerige scan maakt de PEN tester van tevoren een inschatting van het benodigde aantal uren per te testen onderdeel.
Procedure
Een PEN test begint met een intakegesprek samen met één van onze PEN testers. Hier vindt naast een algemene kennismaking overleg plaats over onder andere de scope van de test, de methode van aanpak (zie ‘welke varianten zijn er?’), het beschikbare budget en het tijdsbestek waarin de PEN test plaatsvindt. Vervolgens vindt de daadwerkelijke PEN test plaats. Deze bestaat uit 5 fasen:
1. Inventarisatie
De pentesters maken een grove inventarisatie van het IT-landschap. Ze maken als het ware een situatieschets van de gebruikte systemen.
2. Enumeratie
De inventarisatie wordt aangevuld met relevante informatie. Denk bijvoorbeeld aan een overzicht van de beschikbaar gestelde diensten door de eerder aangetroffen systemen.
3. Uitvoering
De pentesters voeren daadwerkelijk de aanval uit en brengen de impact in kaart.
4. Rapportage en presentatie
De pentesters stellen een rapportage op met daarin de bevindingen, conclusies en aanbevelingen. Daarnaast geven ze een presentatie op locatie, zodat samen gezocht kan worden naar de meest veilige oplossing voor bepaalde situaties.
5. Oplossen
De gerapporteerde kwetsbaarheden worden opgelost. Deze fase valt niet onder de test zelf en wordt apart berekend en geoffreerd.
Veel gestelde vragen
Veel van mijn IT staat in de cloud of is in beheer bij externe providers. Is een PEN test dan wel nuttig?
Jazeker. Een cloud- of ICT-provider is immers ook kwetsbaar. Natuurlijk hebben grote spelers veel budget voor security, maar ze zijn ook aantrekkelijk voor hackers omdat ze doorgaans over veel data beschikken. En uiteindelijk bestaat een cloud simpelweg uit computersystemen. Bovendien kunt u wel ICT-diensten afnemen bij externen, u blijft zelf verantwoordelijk voor een solide security van bijvoorbeeld de data die u bij anderen neerzet.
Wanneer een PEN tester zwakheden bij een externe partij ontdekt, dan wordt deze partij ingelicht zodat zij maatregelen kunnen nemen. Dat verhoogt uiteindelijk ook uw security niveau. In een dergelijke situatie moet de de geteste organisatie wel voor een vrijwaringsverklaring zorgen bij de externe leverancier.
Mijn organisatie beschikt over vertrouwelijke data. Zijn die in goede handen bij een PEN tester?
Wij tekenen van tevoren een NDA (Non Disclosure Agreement). Dat is een geheimhoudingsverklaring. Aangetroffen data zijn dan in veilige handen, vaak op straffe van een fikse boete.
Zijn er risico’s verbonden aan een PEN test?
Een PEN test brengt vrijwel altijd risico’s met zich mee. Zo kunnen systemen door de gesimuleerde aanvallen worden verstoord, wat kan resulteren in downtime. Wees hierop voorbereid (zie vraag: Hoe bereid ik de organisatie voor op een PEN test?). Een PEN tester zal daarom met de opdrachtgever altijd een vrijwaringsverklaring overeenkomen. Onze PEN testers zullen downtime altijd proberen te voorkomen en letten tijdens de test op eventuele signalen die op verstoring kunnen duiden.
Hoe bereid ik de organisatie voor op een PEN test?
Een goede voorbereiding maakt een PEN tester veel effectiever en gerichter. Een risico-inventarisatie is daarom waardevol. Vraag uzelf af wat de achilleshiel van uw organisatie kan zijn. Beschikt u bijvoorbeeld over gevoelige bedrijfsinformatie, of verwerkt u veel (bijzondere) persoonsgegevens? Is imago belangrijk? Opereert u in een controversiële markt en zijn hackers wellicht uit op sabotage van uw activiteiten? Probeer te achterhalen wat uw organisatie een aantrekkelijk doelwit maakt voor hackers. Zo kan tijdens de test hierop focus gelegd worden.
Het is daarnaast verstandig een rondgang te maken langs alle afdelingen en stakeholders in de organisatie. Zo kan een hr-directeur wellicht op andere risico’s wijzen dan de CFO. Een organisatie-brede inventarisatie zorgt voor een compleet risicobeeld. Dat voorkomt een te nauwe focus tijdens de PEN test.
Ten slotte is het verstandig snel te kunnen ingrijpen wanneer de PEN test onverhoopt een downtime veroorzaakt. Zorg dan ook dat cruciale systemen snel te herstellen zijn vanuit een test- of acceptatieomgeving. Verder is het verstandig externe IT-providers of cloudleveranciers van tevoren te informeren en eventuele vrijwaringsovereenkomsten af te sluiten. Er zal immers ook een aanval plaatsvinden op hun systemen.
Tarief
Een PEN Test kan al worden uitgevoerd vanaf € 3.000,=.