Organisaties krijgen met steeds meer cyberdreigingen te maken. Als ondernemer is het dan ook essentieel om te weten in hoeverre je bestand bent tegen digitale inbraakpogingen. Dat kan met een penetratietest, een van onze diensten. Hierbij wordt geprobeerd op alle denkbare manieren in te breken in de systemen van de organisatie. Dankzij deze pentesten krijg je de zwakke punten van het netwerk of (web)applicaties in beeld. De hierbij ontdekte digitale risico’s afdekken kan toekomstige cyberaanvallen voorkomen – en daarmee heel veel schade. Lees hier of het voor jullie organisatie verstandig is om een pentest uit te voeren.
Dit doet een pentest
Pentest is kort voor penetratietest of penetration test. Het doel van een pentest is achterhalen of het mogelijk is om binnen te dringen in bedrijfssystemen en applicaties. Dat kan handmatig door een pentester of ethische hacker, maar ook geautomatiseerd middels slimme software. Zo worden de technieken en tools van cybercriminelen getest op de digitale infrastructuur van het bedrijf. Maar dan zónder daar de bijbehorende schade van te ondervinden.
Een pentest kan dus alle mogelijke bekende digitale kwetsbaarheden van de organisatie opsporen, waarna men de juiste beveiligingsmaatregelen kan nemen.
Welke organisaties zouden penetratietesten moeten laten uitvoeren?
Voor sommige organisaties is deze dienst een must te noemen. Geldt dit ook voor jouw bedrijf? Pentesten zouden vaste prik moeten zijn als:
- Je zelf software ontwikkelt, dus als je een platform in eigen ontwikkeling hebt.
- Ook als je twijfels hebt over de veiligheid van een systeem dat je gebruikt, raden wij deze dienst aan. Dat kan maatwerk van een ander zijn, of je eigen applicaties of platform.
- CRM-systemen vallen eveneens onder kwetsbare infrastructuur
- Ook als je een website hebt met een webshop is het raadzaam om deze te laten testen.
- Plugins zijn bovendien gevoelig voor hacks, zeker wanneer die niet geüpdatet blijken. Dat laatste is iets waar veel organisaties niet scherp op zijn, wat logischerwijs risico’s oplevert.
Op het moment dat je gerenommeerde software gebruikt voor je administratie, mag je ervan uitgaan dat hun tools veilig zijn.
Onze pentesten: van bevindingen tot oplossingen
Bedrijven schakelen ons in voor het uitvoeren van pentesten wanneer zij willen weten hoe inbraakgevoelig hun netwerk of (web)applicatie is. Een pentest wordt door organisaties uitgevoerd met een specifiek doel, het is zeker niet voor de bühne. Bedrijven willen ofwel weten hoe ze ervoor staan, of een opdrachtgever wil de uitslag van de pentest zien om gerustgesteld te worden.
De output van onze pentest is een concrete rapportage: wat zijn de digitale kwetsbaarheden van de organisatie en hoe kun je die oplossen? Met name doordat de rapportages zo duidelijk zijn en oplossingen bevatten, kan de ontwikkelaar van het bedrijf de bevindingen hands-on afwikkelen. Daar kunnen ze mee aan de slag.
Wat wij vaak tegenkomen bij onze penetratietesten, zijn slordigheidjes in de code. Dit geeft risico op code-injectie; een kwaadwillende kan daardoor een stukje code aanpassen van de site. Verder komt het geregeld voor dat de webserver te veel informatie prijsgeeft over de digitale infrastructuur. Welke applicaties en versie gebruikt worden bijvoorbeeld. Het gevaar hiervan is dat de crimineel zo gelijk weet welke kwetsbaarheden de website kent.
Kaders bij het uitvoeren van onze pentesten
Wat vooral belangrijk is wanneer je zeker wilt weten dat je een effectieve pentest uitvoert, is de norm die gebruikt wordt. OWASP Top Ten is een van de meest gebruike pentestkaders. Onze pentesten voeren we uit volgens de norm in de pentest-guide, zodat de kwaliteit geborgd wordt. Alle opgespoorde kwetsbaarheden koppelen we vervolgens aan ‘in welke certificering komt deze kwetsbaarheid naar voren?’. Dit is bijvoorbeeld relevant om te voldoen aan een ISO-normering.
Een andere eigenschap van goede pentest(er) is dat ze met de tijd mee dienen te gaan. Up to date blijven dus. Op deze manier worden ook de meest recente risico’s meegenomen in de beoordeling.
Geautomatiseerde pentesten of handmatige: wat heeft de voorkeur?
Tot vrij recent waren bij penetratietesten altijd mensenhanden nodig. Dankzij geavanceerde tooling zijn pentesten tegenwoordig prima grotendeels automatisch uit te voeren. Een handmatige test is niet per definitie beter dan een geautomatiseerde. Een goede geautomatiseerde pentest kan een fysieke pentester heel veel werk uit handen nemen. Het voorwerk dat een automatische test doet, is heel welkom. Zo kan de scope flink worden verkleind, waarna met een gerichte handmatige test de puntjes op de i worden gezet.
Sommige organisaties zullen meer baat hebben bij die extra menselijke input. Als je een pentest uit wil voeren op een netwerk met applicaties erin bijvoorbeeld, dan is er zeker wat voor te zeggen om een mens in te zetten.
Verschillende klanten en partners helpen we met onze pentesten. Zo ook onze partner NoardCode (https://www.noardcode.nl/ ) bijvoorbeeld. NoardCode ontwikkelt maatwerk software en online oplossingen voor opdrachtgevers en stimuleert haar klanten om ook zelf de ontwikkelde systemen te laten testen.
Hoe frequent zou een organisatie een pentest moeten doen?
Hoe vaak een bedrijf een penetratietest zou moeten doen, is afhankelijk van de organisatie en de gebruikte applicaties. Een periodieke pentest is een goed idee wanneer er doorlopend aan ontwikkeld wordt, of frequent grote updates plaatsvinden. Afhankelijk van de omvang van het platform en de risico’s kan dit maandelijks, ieder kwartaal, ieder half jaar, maar zeker jaarlijks plaatsvinden. Kleinere organisaties en platformen kunnen het testen bijvoorbeeld koppelen aan een nieuwe release of set grote updates.
