De juiste keuze maken
Waarom een penetratietest (in de regel 'pentest' genoemd) of een kwetsbaarheidscan laten uitvoeren? In de praktijk gebeurt het regelmatig dat er om een kwetsbaarheidscan wordt aangevraagd, terwijl een pentest is benodigd. De 'hamvraag' is echter: Wanneer vraagt u een kwetsbaarheidscan aan en wanneer vraagt u een pentest aan?
Wat is een kwetsbaarheidscan?
Zoals de naam al doet vermoeden, testen we met een geautomatiseerde kwetsbaarheidscan de digitale kwetsbaarheden binnen uw organisatie. Er wordt een inventarisatie gemaakt hoe (een onderdeel van) de technologische infrastructuur in elkaar zit en welke doelwitten — binnen de context van uw organisatie — mogelijk interessant zijn voor kwaadwillende hackers. Denk hierbij aan objecten, netwerken, systemen en apparaten. Waar zitten de zwakke plekken? Wat zijn voor aanvallers potentiële mogelijkheden om binnen te komen en schade aan te richten? Een kwetsbaarheidscan geeft hier inzicht over.
Uw beveiligingsleverancier interpreteert de bevindingen van de kwetsbaarheidscan en prioriteert de meest kritieke kwetsbaarheden. Dit alles is terug te vinden in een uitgebreid kwetsbaarheidsrapport. Daarin leest u welke netwerken, systemen of opparaten het meest gevaar lopen en waarom. Lopen deze het risico om beschadigd of ontoegankelijk te worden? Liggen er datalekken met belangrijke persoonsgegevens op de loer?
De kwetsbaarheidscan geeft een breed beeld van de veiligheid van uw technologische infrastructuur. In het kwetsbaarheidsrapport ziet u welke kwetsbaarheden als eerste aandacht nodig hebben en hoe u deze eventuele problemen kunt verhelpen.
Wat is een pentest?
Tijdens een pentest valt een ethisch hacker (CEH) handmatig — en binnen een veilige omgeving — uw technologische infrastructuur aan. Met verschillende technieken probeert een ethisch hacker kwetsbaarheden te vinden en uit te buiten. De ethisch hacker gaat gericht op zoek naar kwetsbaarheden en valt deze aan. Daarnaast zet de ethisch hacker ook tools in om als het ware met hagel te schieten op uw technologische infrastructuur. Zo komen vaak uiteenlopende kwetsbaarheden naar voren.
De verschillen tussen een pentest en een kwetsbaarheidscan
De pentest en de kwetsbaarheidscan hebben als doel kwetsbaarheden in kaart te brengen, te kwalificeren en u te helpen deze op te lossen. Maar wat is dan het grote verschil? Dat zit hem in de aanpak én de kosten. Een kwetsbaarheidscan kan hoofdzakelijk geautomatiseerd plaatsvinden, waardoor deze een stuk goedkoper is. Daarnaast is een kwetsbaarheidscan wat algemener van aard: een kwetsbaarheidscan behandelt elke klant ongeveer hetzelfde.
Waar we bij een kwetsbaarheidscan vooral algemeen analyseren, gaan we bij een pentest een stap verder. Daarbij probeert de ethisch hacker handmatig als een echte aanvaller uw object, netwerk, systeem of applicatie binnen te dringen en de kwetsbaarheden uit te buiten. Dit alles binnen een vooraf afgesproken bijbehorende reikwijdte en context met de opdrachtgever.
Een pentest is dus niet alleen een kwetsbaarheidscan, maar een simulering van een echte aanval. Daardoor weet u nog beter hoe goed het met de beveiliging van uw organisatie is gesteld. Hierdoor bent u nog beter in staat gerichte verbeteringen in uw technologische infrastructuur aan te brengen om hackers effectief buiten te houden.
Wanneer is een kwetsbaarheidscan nodig?
Een kwetsbaarheidscan is vooral handig als u in grote lijnen inzicht wil krijgen in de kwetsbaarheden binnen uw technologische infrastructuur. Bijvoorbeeld wanneer u net de eerste stappen zet naar een beter technologisch veiligheidsbeleid. Het geeft een mooie algemene eerste indruk en helpt u om de opvallendste problemen direct in kaart te brengen en op te lossen.
Wanneer is een pentest geschikt?
Een pentest is vooral geschikt wanneer u binnen een bepaalde scope tot in detailniveau de cyberweerbaarheid van (een deel van) uw organisatie wil laten testen. Doordat een ethische hacker daadwerkelijk aanvalt zoals een kwaadwillende hacker dat zou doen, weet u precies waar eventueel de meest kritieke kwetsbaarheden liggen.
Een pentest is ook heel handig zijn om aan klanten te bewijzen hoe goed u alles op orde hebt. Als een ethisch hacker niet binnen kan komen, kan een kwaadwillende hacker dat ook niet zomaar.
De verschillende werkwijze van een pentest
Er zijn drie pentest werkwijze te onderscheiden: 'black box', 'grey box' en 'white box'. Er is geen beste werkwijze. Iedere variant heeft zijn eigen plus- en minpunten. De juiste keuze hangt dus volledig af van de omstandigheden.
Bij een 'black box' pentest krijgt de ethische hacker vooraf geen enkele informatie, net zoals in het echt. Zo kan de pentester echt in de huid kruipen van een opportunistische, niet-geïnformeerde hacker. Aangezien de pentester geen voorinformatie heeft, maar wel gelimiteerd is door tijd en budget, is deze testvariant doorgaans de minst grondige. De test wordt dan ook vaak gebruikt bij het controleren van de algemene veiligheid van een object, netwerk, systeem of applicatie.
Bij een 'grey box' pentest wordt er enige informatie beschikbaar gesteld. Bijvoorbeeld de inloggegevens van een medewerker of klant om te controleren of zij onbevoegde toegang kunnen krijgen tot gegevens. De pentester kruipt bij deze techniek in de huid van een geïnformeerde hacker of kwaadwillende insider die al een zekere toegang heeft tot het systeem of de applicatie alvorens hij de aanval start. Er wordt dus getest vanuit het gebruikersperspectief.
Bij een 'white box' pentest wordt er vooraf volledige openheid van zaken gegeven, zoals netwerkdiagrammen en broncode. Daardoor kan de pentest zeer grondig worden uitvoerd. Met deze methode kunnen complexere en goed verborgen kwetsbaarheden worden gevonden.
Wat is het proces van een pentest?
Een pentest begint met een intakegesprek, waarin de scope (de reikwijdte) van de pentest wordt vastgelegd. Daarbij dient ook schriftelijke toestemming van de opdrachtgever te worden verkegen voor het uitvoeren van een pentest. Vergeet daarbij niet dat er hiervoor een zogenaamde vrijwaringsverklaring door de opdrachtgever dient te worden opgemaakt voor eventuele schade, aansprakelijkheid en/of computercriminaliteit. Een vrijwaringsverklaring is belangrijk voor als er problemen mochten ontstaan bij de uitvoering van de pentest. De beveilgingsleverancier — die de pentest immers uitvoert met toestemming van de opdrachtgever — blijft zo gevrijwaard van eventuele aansprakelijkheid en schade als gevolg van claims en/of computercriminaliteit.
Vaak dient ook eerst een zogenaamd 'Plan van Aanpak' te worden opgesteld door de beveiligingsleverancier die de pentest gaat uitvoeren. Vragen die eerst beantwoord dienen te worden zijn:
Wat is het object van het onderzoek?
Welke werkwijze gaan we gebruiken: 'black box', 'grey box' of 'white box'?
Wat is het beschikbare budget?
Wat is het tijdsbestek en de planning waarin de pentest plaatsvindt?
Als dit is vastgesteld kan de pentest van start gaan. Dit gebeurt in drie fasen, te weten:
De verkenning
De ethische hackers gaan in de verkenningsfase aan de slag met het in kaart brengen van potentiële toegangsdeuren. Hierbij worden de infrastructuren en gebruikte systemen in kaart gebracht en wordt er gezocht naar zogezegd 'laaghangend fruit'.
De aanval
Na de verkenning begint het daadwerkelijk aanvallen van uw applicaties, netwerken of systemen. De ethische hackers proberen toegangsdeuren te vinden en kwetsbaarheden uit te buiten om zo uw systemen binnen te dringen en gevoelige gegevens te stelen.
De rapportage
Tijdens de pentest documenteren de ethische hackers alle gevonden kwetsbaarheden en bevindingen die geclassificeerd worden volgens een risicoprofiel voor uw organisatie. Dit resulteert in een helder rapport met daarin de belangrijkste conclusies en aanbevelingen waarmee de beveiliging van uw organisatie verbeterd kan worden. Vervolgens kunt u deze aanbevelingen vertalen in concrete acties.
Wie voert de pentest uit?
Dát is een belangrijke vraag! De ethische hacker die de pentest uitvoert krijgt immers mogelijk toegang tot al uw gevoelige gegevens. Er zijn een aantal kenmerken om een pentestorganisatie met goede bedoelingen te herkennen. Een belangrijk aandachtspunt zijn de kwalificaties van de pentesters. Naast een Verklaring Omtrent het Gedrag (VOG) en eventueel een antecedenten screening, zijn hackers certificaten zoals CEH, OSCP, OSCE en OSWE een goede indicator van kennis, doorzettingsvermogen en creativiteit. Daarnaast is het belangrijk dat de pentest bestaat uit mensenwerk. Is de pentest voor het overgrote deel geautomatiseerd, dan is dat doorgaans een slecht teken. Menselijk inzicht en creativiteit zijn cruciaal voor een goede test.
Wat is een red team, blue team en purple team?
Organisaties die hun security-systemen en protocollen regelmatig testen, krijgen ongetwijfeld te maken met een 'blue team', 'red team' en 'purple team' uitvoering. Dit is een oefening waarbij verschillende cybersecurity-teams het tegen elkaar opnemen met als doel de security-systemen van de organisatie verder te verbeteren. Wat zijn deze teams precies en wat is hun rol tijdens zo’n uitvoering?
Het red team zijn de aanvallers. Dat zijn de ethische hackers die daadwerkelijk proberen om door de beveiliging van het bedrijf van de klant heen te breken. Zo’n red team uitvoering wordt vaak ingezet door bedrijven die al hun applicaties afzonderlijk al eens hebben laten onderzoeken, maar graag willen weten hoe het blue team (de verdedigers) functioneert.
Rol van het red team
In de meeste gevallen krijgt het red team een specifieke opdracht van de klant. Bijvoorbeeld: probeer maar eens toegang te krijgen tot onze salarisadministratie of onze klantgegevens. Er zijn vaak weinig beperkingen voor het red team om dit doel te behalen. Zo kan het red team dit doel proberen te behalen via enkel technische middelen, maar bijvoorbeeld ook door fysiek toegang proberen te krijgen tot locaties van de klant, of middels social engineering.
Het blue team zijn de verdedigers. Zij proberen op dagelijkse basis de security van het bedrijf te verbeteren door security-systemen te analyseren, kwetsbaarheden te identificeren, deze op te lossen en te monitoren of deze oplossingen effectief zijn. Bij grote bedrijven werken ze vaak in een Security Operations Center (SOC), op de IT- afdeling of bij de data security divisie van een bedrijf.
Rol van het blue team
Een belangrijke taak van het blue team is dat zij een aanval van het red team zo snel mogelijk opmerken. Niet alleen als het gaat om een directe aanval op het security-systeem, maar ook als het red team via social engineering probeert relevante informatie te verkrijgen. Hoe makkelijk is het om een toegangspasje snel te klonen? Kan het red team door een simpel telefoontje met de IT-afdeling een belangrijk wachtwoord achterhalen of snel malware installeren bij de boekhouding?
Purple teams zijn, zoals de naam al doet vermoeden, mensen die zowel in het red als in het blue team kunnen zitten. Het belangrijkste is dat ze niet exclusief gericht zijn op aanvallen of verdedigen; ze doen het allebei.
Rol van het purple team
In veel gevallen zijn purple teams geen afzonderlijke teams. Het is vaak eerder een teamoverleg waarin leden van het red en het blue team worden samengebracht. Tijdens de informatie-uitwisseling die dan plaatsvindt, kunnen ze hun vorderingen bespreken en best practices uitwisselen. Soms zitten er in het purple team ook security specialisten die de samenwerking tussen het red team en blue team analyseren en het einddoel van de oefening in de gaten moeten houden.
Gereedschapskist red teamingtesten Rijksoverheid
Een red teamingtest is een geavanceerde securitytest waarbij een cyberaanval op één of meerdere kritieke functies van een organisatie wordt gesimuleerd. Dit gebeurt op basis van reële dreigingen. Het doel van een red teamingtest is om de beveiligingsmaatregelen van een organisatie (of keten van organisaties) te testen en de organisatie hiervan te laten leren. Op basis van de bevindingen uit een red teamingtest kun je verbeterplannen opstellen om de digitale weerbaarheid van de organisatie te verbeteren.
Om organisaties binnen de Rijksoverheid te helpen bij het uitvoeren van testen is de gereedschapskist red teamingtesten ontwikkeld. In de gereedschapskist vind je hulpmiddelen (documenten) voor de keuze, inkoop en uitvoering van red teamingtesten.
