Over kiespijn en pentesten

Als je verantwoordelijk bent voor de cybersecurity van je organisatie heb je doorgaans een dubbel gevoel over penetratietesten en vulnerability scans. Het is een beetje als je zeurende verstandskies: je hoeft eigenlijk niet naar de tandarts te gaan om te weten dat daar iets mee moet gebeuren, maar je hebt het nu even te druk. Toch zul je altijd zien dat je er pas goed last van krijgt als het helemaal niet uitkomt.

Natuurlijk weten de meeste CISO’s of IT-hoofden dat hun cyberbeveiliging nooit 100 procent waterdicht kan zijn. En dus weten ze ook dat vulnerabilty scans en penetratietesten kwetsbaarheden zullen aantonen. Die moet je weer fixen, terwijl je al tot je oren in het werk zit. Maar net zoals met die verstandskies weet je: als we het nu niet fixen, dan krijgen we het dubbel terug op een moment dat we niet kunnen plannen.

Wat is het verschil?

Misschien is het goed om eerst het verschil tussen vulnerability testen en penetratietesten uit te leggen.

Het doel van een zogenaamde vulnerability scan is om in kaart te brengen hoe de security bij een organisatie is geregeld en aan te geven wat de eventuele kwetsbaarheden zijn. Tijdens de scan wordt informatie verzameldover mogelijke doelwitten – welke computers, systemen en servers zijn voor hackers interessant? – en worden de kwetsbaarheden boven water gehaald waarvan een hacker gebruik kan maken om zich toegang te verschaffen tot een systeem of netwerk en schade aan te richten.

Het verzamelen van informatie over doelwitten en het identificeren van kwetsbaarheden is een belangrijk onderdeel van een vulnerability scan.

Naast bekende kwetsbaarheden kunnen er echter ook andere zwakke plekken zijn. Denk aan inefficiënte bedrijfsprocessen, onvoldoende getrainde medewerkers, vergeten systemen, enzovoort. Deze zwakke plekken worden niet geïdentificeerd tijdens een vulnerability scan, maar worden wel meegenomen tijdens een pentest.

Een pentest gaat namelijk nog een stap verder. Zo worden de gevonden kwetsbaarheden tijdens een pentest ook daadwerkelijk getest, en wordt er actief geprobeerd om een systeem of netwerk binnen te dringen. Op deze manier wordt bekeken of de geïdentificeerde kwetsbaarheden ook daadwerkelijk als opstap kunnen dienen om schade aan te richten of vertrouwelijke informatie te ontvreemden.

Menselijke hackers of automated pentesting

Pentesten in het algemeen worden vaak gezien als een noodzakelijk kwaad. Alhoewel bedrijven veel kunnen met bewijs van kwetsbaarheden in de organisatie, blijft het een duur grapje om deze kwetsbaarheden te achterhalen, en blijft het ook de vraag: wie vertrouw je met het uitvoeren van deze pentesten?

Naast deze vraag is het zo dat menselijke hackers een beperkt aanvalsrepertoire hebben, niet consistent zijn, en te kostbaar zijn om vaker dan noodzakelijk in te zetten.

Geautomatiseerde pentesten maken gebruik van alle exploit- en dynamische hacktechnieken en kunnen simpelweg geïnstalleerd worden. Bovendien kunnen deze geautomatiseerde pentesten maandelijks, wekelijks of zelfs dagelijks ingezet worden, wat het makkelijker maakt om nieuwe technologie of apparatuur snel te testen op kwetsbaarheden.

Wat is de beste keuze?

Wat voor jou de beste keuze is – een vulnerability scan of een pentest, automated of niet – is uiteraard afhankelijk van je doelstelling. Wil je uitsluitend een algemeen beeld waaruit blijkt hoe je IT-security is geregeld, dan volstaat een vulnerability scan. Wil je echter een meer gedetailleerd overzicht waarin alle potentiële zwakheden zijn opgenomen, dan heb je meer aan een pentest.

Wil je dat je netwerksecurity weerbaar is en blijft en dat de pentest makkelijk inzetbaar en risicoloos is, dan is een geautomatiseerde pentest waar je naar op zoek bent.

Stephanie van Wissen
Editor