Pentest vs Vulnerability Management

Kwetsbaarheden vinden, dat is het werk van een security expert wanneer hij begint met een pentest. Een gemiddelde penetration test kost rond de 5.000 euro, dus het zal u niet verbazen dat de meeste organisaties ervoor kiezen om maar 1x per jaar een pentest uit te laten voeren. Aan het einde van een pentest krijgt u een rapport met daarin de bevindingen en aanbevelingen, vaak met genoeg verbeterpunten voor de rest van het jaar.

Het nadeel van een pentest is dat het een momentopname is: het rapport geeft een duidelijk beeld hoe de situatie vandaag is, maar de rest van het jaar is de organisatie blind. Wat als er een nieuwe kwetsbaarheid uitkomt, de dag na oplevering van het rapport?

Het antwoord is vulnerability management

Hoe kunnen we dit verbeteren? Blind zijn voor 11 van de 12 maanden is op z’n minst suboptimaal. Het antwoord is vulnerability management. Vulnerability management oplossingen zoals onze Website security check en NetCaptain, maar ook scanproducten zoals bijvoorbeeld Nessus of OpenVAS zijn in staat om meer dan 100.000 unieke kwetsbaarheden te identificeren. U kunt het zien als een “hacker in a box”. Het grote verschil is dat deze diensten u een real time overzicht geven hoe de situatie er op dit moment voorstaat. Als een nieuwe kwetsbaarheid uitkomt bent u dus direct op de hoogte en hoeft u niet een jaar te wachten. En laten we eerlijk zijn: het eerste wat een dure security expert doet is dezelfde tooling gebruiken.

If you want to test your whole infrastructure for security flaws, make sure you have done your homework.

Dat wil niet zeggen dat security experts overbodig zijn geworden, integendeel. Een mens is in staat om de context van een applicatie te begrijpen en daarop in te spelen. Stel u kunt een getal aanpassen in een applicatie, dan is het belangrijk om het verschil te zien tussen een huisnummer en een bankrekening saldo. Het laatste zou een enorm probleem zijn als een klant zomaar zijn saldo aan zou kunnen passen! Een security expert is in staat om dit soort kwetsbaarheden te vinden, maar een computer ziet het verschil niet.

U ziet, een pentest is een belangrijke aanvulling op uw applicatie. Het is echter raadzaam om vooraf uw huis op orde te hebben door het laaghangende fruit te verhelpen. Als u dat niet doet, dan loopt u het risico dat de pentester het grootste gedeelte van zijn tijd kwijt is met het scannen en er weinig tijd overblijft voor waar een mens echt goed in is: creatieve manieren vinden die geen machine kan ontdekken.

Wilt u weten welk stappen u het best kunt zetten? Neem gerust contact met ons op. CyberAnt kan u zowel helpen met vulnerability management als met een pentest.

Meer informatie over onze diensten

Wilt u er zeker van zijn dat uw websites, apps of systemen vrij zijn van lekken of kwetsbaarheden? Onze experts gaan graag voor u aan de slag. Voor meer informatie over onze pentests of andere diensten kunt u vrijblijvend contact opnemen via onderstaand contactformulier. We vertellen u graag wat we voor u kunnen betekenen.

    Contact

    Randstad 22 147
    1316 BM Almere

    info@cyberant.com
    +31 (0)85 047 1590