Kwetsbaarheden vinden, dat is het werk van een security expert wanneer hij begint met een pentest. Een gemiddelde penetration test kost rond de 5.000 euro, dus het zal u niet verbazen dat de meeste organisaties uit kostenoverwegingen ervoor kiezen om het aantal pentesten te beperken.
Aan het einde van een pentest krijgt u een rapport met daarin de bevindingen en aanbevelingen, vaak met genoeg verbeterpunten voor de rest van het jaar. Het nadeel van een pentest is dat het een momentopname is: het rapport geeft een duidelijk beeld hoe de situatie vandaag is. Maar wat als er een nieuwe kwetsbaarheid uitkomt, de dag na oplevering van het rapport? Voor een maatwerk applicatie zal dit in de praktijk meevallen, maar binnen een bedrijfsnetwerk kan er veel veranderen in een maand.
Hoe kunnen we dit verbeteren? Blind zijn voor 11 van de 12 maanden is op z’n minst suboptimaal. Het antwoord is vulnerability management. Vulnerability management oplossingen zoals NetCaptain waarbij verschillende tools gecombineerd worden tot een “super scanner”, maar ook losse scanproducten zoals bijvoorbeeld Nessus of OpenVAS zijn in staat om meer dan 100.000 unieke kwetsbaarheden te identificeren. U kunt het zien als een “hacker in a box”. Het grote verschil is dat deze diensten u een real time overzicht geven hoe de situatie er op dit moment voorstaat. Als een nieuwe kwetsbaarheid uitkomt bent u dus direct op de hoogte en hoeft u niet een jaar te wachten. En laten we eerlijk zijn: het eerste wat een security expert doet is dezelfde tooling gebruiken.
If you want to test your whole infrastructure for security flaws, make sure you have done your homework.
Dat wil niet zeggen dat security experts overbodig zijn geworden, integendeel. Een mens is in staat om de context van een applicatie te begrijpen en daarop in te spelen. Stel u kunt een getal aanpassen in een applicatie, dan is het belangrijk om het verschil te zien tussen een huisnummer en een bankrekening saldo. Het laatste zou een enorm probleem zijn als een klant zomaar zijn saldo aan zou kunnen passen! Een security expert is in staat om dit soort kwetsbaarheden te vinden, maar een computer ziet het verschil niet. Daarnaast kan een simpel “digitaal hekje” een tool al om de tuin leiden, terwijl de creatieve geest van een ervaren hacker vaak 5 verschillende manieren ziet om deze blokkade te omzeilen.
U ziet, een pentest is een belangrijke aanvulling ten opzichte van vulnerability management. Het is echter raadzaam om vooraf uw huis op orde te hebben door het laaghangende fruit te verhelpen. Als u dat niet doet, dan loopt u het risico dat de pentester het grootste gedeelte van zijn tijd kwijt is met het scannen en er weinig tijd overblijft voor waar een mens echt goed in is: creatieve manieren vinden die geen machine kan ontdekken.
Wilt u weten welk stappen u het best kunt zetten? Neem gerust contact met ons op. CyberAnt kan u zowel helpen met vulnerability management als met een pentest.
