In onze gesprekken met onze klanten horen we vaak “we willen graag een pen-test”, met daarbij de scope gedefinieerd als “alles”. Vaak blijkt dat onze klant eigenlijk gewoon wilt weten hoe het met de veiligheid zit. Maar omdat de vraag wordt gesteld in “ik wil graag middel x“, in plaats van “ik wil graag antwoord op y“, krijgt de klant al snel wat hij of zij niet zoekt.

In zo’n gesprek begrijpen we dus al snel dat men eigenlijk helemaal geen pen-test (penetratie test) wilt, maar dat ze gewoon willen weten wat de algehele staat van de digitale beveiliging van hun website en/of ICT landschap is.

Wij passen vaak de metafoor van de taart toe, om uit te leggen welke middelen ingezet kunnen worden om welke vraagstukken te beantwoorden.

De Taart

Stelt u zich eens voor dat een succesvolle hack een taart is, één met slagroom en de kers en al daarboven! En dat klinkt heel lekker, maar als bedrijf wil je eigenlijk helemaal geen taart hebben. Nou, misschien ter traktatie van een collega, maar de taart die wij bedoelen is een ‘cadeautje’ van de backer, uh, hacker.

Voordat een taart gebakken kan worden, moeten er natuurlijk ingrediënten zijn. Deze ingrediënten zijn de kwetsbaarheden die gebruikt worden in een hack. Maar met ingrediënten alleen lukt het niet, want als u alles in een kom doet en luk-raak begint te kloppen, dan zal er naar alle waarschijnlijkheid geen smaakvolle taart (als het al zo genoemd mag worden) tevoorschijn komen. Er is dus ook een recept nodig, de methode om tot de hack op de juiste wijze uit te voeren.

Samengevat, voor een taart hebben we dus ingrediënten en een recept nodig. Voor een hack hebben we dus kwetsbaarheden nodig, en een methode om die hack in te zetten.

Bak de Taart

Nu kan er dus op drie verschillende niveau’s getest worden. En dat is op het niveau van de ingrediënten (de kwetsbaarheden), het recept (de methode) of de taart (succesvolle hack). Laten we beginnen met de taart. Want wanneer u geïnteresseerd zou zijn om precies te weten of een taart gebakken zou kunnen worden, dan komt u daadwerkelijk uit bij een pen-test, ook wel penetratie-test genoemd.

Een pen-test kent een specifiek doel. Namelijk het proberen doorbreken van een specifieke, of een set aan, veiligheidsmaatregelen. Of het proberen in te breken op een specifieke systeem, applicatie, database, of zelfs gebouwen en rekencentra. Met een pen-test wordt dus getest hoe weerbaar een bepaalde omgeving is tegen een inbraak.

Wanneer een pen-test uiteindelijk niet is gelukt, wordt vaak ten onrechte gedacht dat alles veilig is. En wanneer een pen-test wel is gelukt, wordt vaak ten onrechte gedacht dat alles onveilig is. Los van dat veiligheid niet iets absoluuts is, is het doel van de pen-test niet om te beantwoorden of de algehele omgeving robuust is, maar of een specifieke doelwit te doorbreken is.

Het gaat dus echt om de taart, en het recept dat daarbij hoort. Of er ook andere ingrediënten zijn waarmee andere taarten gebakken kunnen worden, wordt in de regel niet uitgezocht.

Begrijp ons niet verkeerd. Een pen-test is een krachtig hulpmiddel om zeer gevoelige systemen of processen te testen. Dergelijke vraagstukken mag je dan ook verwachten bij grotere financiële- en zorg-instellingen. Wij vinden het alleen jammer dat de vaak duurdere ‘pen-test’ dienst ook verkocht wordt aan kleinere bedrijven.

Zoeken naar de ingrediënten

Het is echter ook mogelijk om te zoeken naar ingrediënten voor allerlei soorten taarten. En dan gaan wij rondsnuffelen of we ook deeg, water, suiker, meel, fruit, slagroom, enzovoorts kunnen vinden. Met andere woorden, wij gaan dan op zoek naar de kwetsbaarheden die mogelijk onderdeel zouden kunnen zijn van een hack.

Om wat voor een hack het dan zou gaan weten we niet exact, want dat is niet getest. We zijn niet op zoek geweest naar de taart. Echter, wat nu wel kunnen vertellen is de waarschijnlijkheid waarmee er een taart gemaakt kan worden en op basis van welke ingrediënten dat zou kunnen gebeuren.

Voorbeelden van kwetsbaarheden zijn niet geïnstalleerde updates, configuratie-fouten, verouderde systemen, ongebruikte software of hardware, open netwerk-omgeving, enzovoorts. Veelal een van de eerste stappen in een hack is het misbruiken van een kwetsbaarheid. En wanneer er voor gezorgd wordt dat er minder kwetsbaarheden zijn, dan is de kans op een hack ook kleiner.

Welke vraag wilt u beantwoord zien?

Dus welke diensten u bij ons of elders zou moeten afnemen, hangt dus sterk af van de vraag die u beantwoord wilt zien.

Bent u op zoek naar een algehele onderzoek van uw omgeving om te weten of er ook kwetsbare plekken aanwezig zijn? Dan zult u waarschijnlijk eerder bij een kwetsbaarheden-analyse uitkomen. In het Engels wordt dit vaak ook wel een Vulnerability Assessment of Vulnerability Scan genoemd.

Wilt u weten of een specifieke veiligheidsmaatregel of een specifieke systeem of applicatie doorbroken kan worden? Dan bent u waarschijnlijk beter uit met een echte pen-test. In het Engels heet dat vaak ook wel een Penetration Test.

Een kwetsbaarheden-analyse wordt vaak met geautomatiseerde tools uitgevoerd waarna het rapport geanalyseerd wordt. Met een pen-test gebeurd zoiets ook wel, maar er wordt ook echt met menselijk handelen en denken allerlei trucjes uitgeprobeerd om de gevonden kwetsbaarheden te misbruiken. Een pen-test kent dus ook een veel langere doorlooptijd en is in de regel ook (fors) duurder.

Ons advies

Voor het MKB is ons advies daarom meestal in de lijn van een kwetsbaarheden-analyse. Dit is een relatief klein onderzoek (afhankelijk van de omgeving) en geeft gericht antwoord op de weerbaarheid van de algehele omgeving.

Vertegenwoordigd u een grotere organisatie, en beschikt u over een Security-team, dan kan een onafhankelijke pen-test zeker zijn waarde kennen. Daarbij zijn er ook nog mogelijkheden in het kader van een red-team test, waarbij ook het fysieke domein en uw Security-team een rol speelt.

Samenvattend, ook al ziet die taart er lekker uit, in de kern start het met het zoeken naar de ingrediënten en die vervolgens weg te nemen. Schroom niet om contact met ons op te nemen voor meer informatie.