12/07/2019
Feestelijke opening van IT-hotspot De Roeter
Opening De Roeter: Op donderdag 4 juli jl. is de nieuwe IT-hotspot De Roeter feestelijk geopend tijdens de Cyso Group Zomerborrel.
Blog
Pentest versus vulnerability scan: twee zeer verschillende manieren om je systemen op kwetsbaarheden te testen.
Heb ik een pentest nodig? Pentesten en vulnerability scans worden vaak verward met dezelfde dienst. Het probleem is dat bedrijfseigenaren de ene aanschaffen wanneer ze eigenlijk de andere nodig hebben.
Een vulnerability scan is een geautomatiseerde, hoog-niveau test die op zoek gaat naar en potentiële kwetsbaarheden rapporteert. Een pentest is een gedetailleerd hands-on onderzoek door een echt persoon die probeert zwakke plekken in je systeem op te sporen en uit te buiten. Bij een pentest start men vaak ook met een vulnerability scan.
Vulnerability scans beoordelen computers, systemen en netwerken op beveiligingszwakheden, ook wel kwetsbaarheden genoemd. Deze scans zijn meestal geautomatiseerd en bieden een eerste blik op wat mogelijk geëxploiteerd kan worden.
Vulnerability scans kunnen handmatig worden gestart of op regelmatige basis worden uitgevoerd en kunnen variëren van enkele minuten tot enkele uren om te voltooien.
Vulnerability scans zijn een passieve benadering van kwetsbaarheidsbeheer, omdat ze niet verder gaan dan het rapporteren van gedetecteerde kwetsbaarheden. Het is aan de bedrijfseigenaar of hun IT-personeel om zwakheden op een geprioriteerde basis te verhelpen of te bevestigen dat een ontdekte kwetsbaarheid een false positive is, en vervolgens de scan opnieuw uit te voeren.
Na voltooiing van een vulnerability scan wordt een gedetailleerd rapport gemaakt. Hierin vind je een uitgebreide lijst met gevonden kwetsbaarheden met aanwijzingen hoe deze opgelost kunnen worden.
Het rapport identificeert potentiële zwakheden, maar bevat soms false positives. Een false positive is wanneer een scan een dreiging identificeert die niet echt is. Het doorlopen van gerapporteerde kwetsbaarheden en ervoor zorgen dat ze echt zijn en geen valse positieven vergt enige moeite, maar het moet worden gedaan. Gelukkig zal een goede scanner kwetsbaarheden rangschikken in risicogroepen (meestal hoog, middelmatig of laag) en vaak een “score” toewijzen aan een kwetsbaarheid, zodat je je zoekinspanningen kunt prioriteren, te beginnen met die van het hoogste potentiële risico.
Een pentest simuleert een hacker die probeert in een bedrijfssysteem te komen door hands-on onderzoek en het uitbuiten van kwetsbaarheden. Echte analisten, vaak ethische hackers genoemd, zoeken naar kwetsbaarheden en proberen vervolgens te bewijzen dat ze kunnen worden uitgebuit.
Pentests zijn een uiterst gedetailleerde en effectieve benadering om kwetsbaarheden in softwaretoepassingen en netwerken te vinden en te verhelpen. Je kan het vergelijk met een pijnlijk gewricht. De huisarts kan kijken en voelen wat de mogelijke oorzaak kan zijn, met een MRI scan kan een arts veel beter bepalen wat de oorzaak kan zijn. Zo kun je een pentest ook zien, dat is een scan waarbij veel beter de kwetsbaarheden worden gevonden en ook bewezen wordt dat het een kwetsbaarheid is. Als je echt diepgaande problemen in je toepassing of netwerk wilt vinden, heb je een pentest nodig. En als je je systemen en software in de loop der tijd aanpast, is een regelmatige pentest een goede manier om de voortdurende beveiliging te waarborgen.
De kosten van een pentest liggen wel een stuk hoger. Er gaan ook veel uren in zitten omdat het veelal handmatig werk is door een etische hacker. Hierdoor kunnen de kosten al snel op € 15.000 of hoger komen te liggen.
Het belangrijkste aspect dat penetratietesten onderscheidt van vulnerability scanning is het menselijke element. Alle pentests worden uitgevoerd door zeer ervaren, zeer technische menselijke wezens.
Typisch bevatten penetratietestrapporten een beschrijving van gebruikte aanvallen, testmethodologieën en suggesties voor herstel.
Beide tests werken samen om optimale netwerk- en toepassingsbeveiliging te bevorderen. Vulnerability scans bieden wekelijks, maandelijks of driemaandelijks inzicht in je netwerkbeveiliging, terwijl pentests een zeer grondige manier zijn om je netwerkbeveiliging diepgaand te onderzoeken. Ja, penetratietests zijn duur, maar je betaalt een professional om elk hoekje en gaatje van je bedrijf te onderzoeken op dezelfde manier als een echte hacker.
Het grote nadeel van bovenstaande testen is dat het om een momentopname gaat. Een pentest voor je niet wekelijks uit, een vulnerability test misschien wel, maar ook dan blijft het een momentopname.
Bij Cyso gebruiken we een combinatie van WAF en SIEM, hiermee kunnen continu de systemen scannen en real-time inzichtelijk maken en notificaties sturen naar de juiste persoon. Op deze manier weten we vaak het probleem al op te lossen voordat de gebruikers de gevolgen van het probleem überhaupt ervaren. Een DDOS aanval kunnen we bijvoorbeeld op die manier vaak al afwimpelen zonder dat de gebruiker of onze klant doorheeft dat de aanval gaande is geweest.