Regelmatig krijgen wij de vraag of we bij een organisatie een pentest kunnen uitvoeren. Als we vervolgens doorvragen, blijkt vaak dat het niet om een pentest gaat, maar om een security assessment, ofwel vulnerability scan. Hieronder leg ik graag uit wat het verschil is tussen beide.
Wat is een vulnerability scan?
Het doel van een zogenaamde vulnerability scan is om in kaart te brengen hoe de security bij een organisatie is geregeld en aan te geven wat de eventuele kwetsbaarheden zijn. Tijdens de scan verzamelen we informatie over mogelijke doelwitten – welke computers, systemen en servers zijn voor hackers interessant – en laten we zien wat de kwetsbaarheden zijn waarvan een hacker gebruik kan maken om zich toegang te verschaffen tot een systeem of netwerk en schade aan te richten.
Rapportage met bevindingen en aanbevelingen
De resultaten van een vulnerability scan worden zoveel mogelijk in de context van de organisatie geplaatst. Welke systemen zijn bijvoorbeeld echt kritiek, en welke minder? En gaat het vooral om beschikbaarheid of juist om integriteit en vertrouwelijkheid? Wat zijn de reële risico’s voor de betreffende organisatie?
Vervolgens wordt een rapport opgesteld waarin de kwetsbaarheden op volgorde van ernst worden beschreven, en waarin we aanbevelingen doen en eventuele oplossingen voorstellen. De uitkomsten van een vulnerability scan geven zo een breed en algemeen beeld van de zwakke plekken in de IT-infrastructuur.
De meerwaarde van uitbesteden
Het uitvoeren van een scan neemt, afhankelijk van het aantal kwetsbaarheden en de grondigheid waarmee een en ander moet worden uitgevoerd, een paar uur tot een paar weken in beslag. Uiteraard kun je dit zelf doen, maar uitbesteden heeft een paar grote voordelen.
Zo zijn wij beter in staat om de bevindingen te interpreteren en prioriteren op basis van de context van de organisatie. Dat heeft vervolgens weer tot voordeel dat je niet zelf een hele lijst bevindingen moet doorlopen om na te gaan wat echt relevant is – en dat je dus ook eerder en efficiënter aan de slag kunt.
Bijkomend voordeel is dat je een onafhankelijk oordeel en advies krijgt met betrekking tot de gevonden kwetsbaarheden. Onafhankelijkheid is vaak een vereiste wanneer een vulnerability scan nodig is om aan een bepaalde normering te voldoen, zoals de ISO 27001 en NEN 7510.
Eventuele vervolgstappen
Het rapport vormt een basis voor verbeteringen die in ieder geval helpen om het ‘laaghangende fruit’ voor hackers weg te nemen. Als die punten zijn opgelost, is het raadzaam om nader onderzoek te doen, zodat ook kwetsbaarheden worden weggenomen die door de meer gevorderde hackers kunnen worden uitgebuit. Hoe gevoeliger de informatie waarmee een organisatie te maken heeft – en dus hoe groter het risico op een daadwerkelijke aanval – hoe zinvoller het is om als volgende stap een pentest uit te laten voeren.
Waarin verschilt een pentest van een vulnerability scan?
Het verzamelen van informatie over doelwitten en het identificeren van kwetsbaarheden, is een belangrijk onderdeel van een pentest. Een pentest gaat echter nog een stap verder. Zo worden de gevonden kwetsbaarheden tijdens een pentest ook daadwerkelijk getest, en wordt actief geprobeerd om een systeem of netwerk binnen te dringen. Op deze manier wordt bekeken of de geïdentificeerde kwetsbaarheden ook daadwerkelijk als opstap kunnen dienen om schade aan te richten of vertrouwelijke informatie te ontvreemden.
Een veel bredere scope
Naast bekende kwetsbaarheden, kunnen er echter ook andere zwakke plekken zijn. Denk aan inefficiënte bedrijfsprocessen, onvoldoende getrainde medewerkers, vergeten systemen enzovoort. Dit soort zwakke plekken wordt niet geïdentificeerd tijdens een vulnerability scan, maar wordt wel meegenomen tijdens een pentest.
Wanneer er bijvoorbeeld sprake is van een inefficiënt uitdiensttredingsproces, kan dit door een pentester of hacker worden uitgebuit door zich bijvoorbeeld voor te doen als een medewerker die inmiddels al uit dienst is om op die manier toegangsrechten te verkrijgen.
Verslaglegging
Ook na een pentest ontvang je een uitgebreide rapportage met alle bevindingen. Zo weet je precies wat er is gevonden, hoe het is gevonden en hoe je deze kwetsbaarheden het best zou kunnen oplossen. Uiteraard kunnen we je bij dit proces helpen door advies te geven of de oplossingen ook daadwerkelijk te implementeren.
Wat is de beste keuze?
Wat voor jou de beste keuze is – een vulnerability scan of een pentest – is uiteraard afhankelijk van je doelstelling. Wil je uitsluitend een algemeen beeld waaruit blijkt hoe je IT-security is geregeld, dan volstaat een vulnerability scan. Wil je echter een meer gedetailleerd overzicht waarin alle potentiële zwakheden zijn opgenomen, dan heb je meer aan een pentest.
In de meest ideale situatie kies je voor een combinatie en laat je meerdere keren per jaar een vulnerability test uitvoeren en één keer per jaar een pentest. Zo zorg je ervoor dat kwetsbaarheden en zwakke plekken op tijd worden geïdentificeerd en kunnen worden opgelost voordat een hacker er gebruik van maakt.
Heeft u interesse in een vulnerability scan of een pentest? Neem dan contact met ons op.
Latoya Vermaas
Security Consultant
