Wat is het verschil tussen een pentest en vulnerability management?
Kwetsbaarheden vinden, dat is het werk van een security expert wanneer er wordt begonnen met een pentest. Een gemiddelde penetration test kost rond de 5.000 euro, dus het is niet verbazingwekkend dat de meeste organisaties uit kostenoverwegingen ervoor kiezen om het aantal pentesten te beperken.
Aan het einde van een pentest krijgt wordt er een rapport met daarin de bevindingen en aanbevelingen ontvangen, vaak met genoeg verbeterpunten voor de rest van het jaar. Het nadeel van een pentest is dat het een momentopname is: het rapport geeft een duidelijk beeld hoe de situatie vandaag is. Maar wat als er een nieuwe kwetsbaarheid uitkomt, de dag na oplevering van het rapport? Voor een maatwerk applicatie zal dit in de praktijk meevallen, maar binnen een bedrijfsnetwerk kan er veel veranderen in een maand.
Hoe kunnen is dit te verbeteren? Blind zijn voor 11 van de 12 maanden is op z’n minst suboptimaal. Het antwoord is vulnerability management. Vulnerability management oplossingen zoals NetCaptain waarbij verschillende tools gecombineerd worden tot een “super scanner”, maar ook losse scanproducten zoals bijvoorbeeld Nessus of OpenVAS zijn in staat om meer dan 100.000 unieke kwetsbaarheden te identificeren. Zie het als een “hacker in a box”. Het grote verschil is dat deze diensten een real time overzicht geven hoe de situatie er op dit moment voorstaat. Als een nieuwe kwetsbaarheid uitkomt is dit dan meteen bekend en hoeft er geen jaar op gewacht worden. En eerlijk, het eerste wat een security expert doet is dezelfde tooling gebruiken.
To test the whole infrastructure for security flaws, make sure the homework is done.
Dat wil niet zeggen dat security experts overbodig zijn geworden, integendeel. Een mens is in staat om de context van een applicatie te begrijpen en daarop in te spelen. Stel een getal is aan te passen in een applicatie, dan is het belangrijk om het verschil te zien tussen een huisnummer en een bankrekening saldo. Het laatste zou een enorm probleem zijn als een klant zomaar zijn saldo aan zou kunnen passen! Een security expert is in staat om dit soort kwetsbaarheden te vinden, maar een computer ziet het verschil niet. Daarnaast kan een simpel “digitaal hekje” een tool al om de tuin leiden, terwijl de creatieve geest van een ervaren hacker vaak 5 verschillende manieren ziet om deze blokkade te omzeilen.
Kortom, een pentest is een belangrijke aanvulling ten opzichte van vulnerability management. Het is echter raadzaam om vooraf het huis op orde te hebben door het laaghangende fruit te verhelpen. Als dat niet gedaan wordt, dan is er het risico dat de pentester het grootste gedeelte van de tijd kwijt is met het scannen en er weinig tijd overblijft voor waar een mens echt goed in is: creatieve manieren vinden die geen machine kan ontdekken.
Weten welke stappen het beste te maken, CyberAnt kan zowel helpen met vulnerability management als met een pentest.