25/01/2024
Tekort aan gekwalificeerd IT-personeel vormt risico’s voor bedrijven
Door digitalisering, automatisering en de inzet van kunstmatige intelligentie zijn er steeds meer ICT’ers nodig, terwijl vacatures steeds lastiger ingevuld worden.
Nieuws
Pentesten is te duur en te omslachtig in de huidige vorm. Volgens een onderzoek onder 600 IT-professionals gedaan door Cobalt is iedereen het erover eens dat pentesten cruciaal is. Van de 600 professionals zou 74% hun systemen en applicaties vaker testen als het proces niet zo omslachtig was.
En dat is zonde: bijna alle ondervraagden zijn van mening dat het hun organisatie op lange termijn geld bespaart door inbraken te voorkomen en 88% geeft aan dat het de security processen verbetert en uiteindelijk meer geld bespaart.
Volgens het rapport is de top 5 al sinds 2018 hetzelfde. Hoewel de volgorde van nr 2 t/m 5 wat is verschoven in de afgelopen jaren heeft “Server Security Misconfigurations” altijd op 1 gestaan. De onderzoekers geloven dat security teams moeite hebben met het effectief verwijderen en voorkomen van deze vaak voorkomende zwakheden. Dit zou kunnen duiden op gaten in development met betrekking tot security, niet genoeg investeringen in security en trainingen of bijvoorbeeld dat bugs/zwakheden open blijven staan omdat het risico te laag wordt ingeschat.
Niet elke sector krijgt te maken met dezelfde kwetsbaarheden. Voor SaaS, Healthcare en de fintech sectoren komen cross-site scripting (stored of reflected), broken access control: Insecure Direct Object References (IDOR) en verouderde software het meest voor. Dat betekent echter niet dat elke sector hetzelfde risiconiveau kent. Voor SaaS en fintech bedrijven zijn de netwerken en applicaties bedrijfskritisch. Sectoren die gevoelige informatie bewaren zoals Healthcare moeten een hogere prioriteit geven aan kwetsbaarheden zoals IDOR. Het risico is hier veel groter voor zowel de organisatie als de klanten.
Een theorie is dat het detecteren van kwetsbaarheden voordat code live gaat nog steeds een work in progress is. Deze kwetsbaarheden glippen langs eerste checks en komen vervolgens naar boven bij third party tests. Hoewel security teams in de development lifecycle diverse manieren hebben om code te checken (code reviews, threat modeling, abuse case tests etc), wordt niet alles even grondig gecheckt.
Samenwerking tussen development en security verloopt moeizaam
De samenwerking gaat niet altijd soepel tussen security en de development teams. De meerderheid zegt dat de samenwerking (veel) beter kan. Inefficiënte workflows en weinig automation integrations zijn hordes die de samenwerking tegenhouden. DevSecOps implementeren heeft ook uitdagingen. Zo zijn er teveel handmatige processen, mist er kennis, zijn er te weinig AppSec tool integraties, te kleine security teams of een verschil in KPI’s tussen development en security.
Omdat het development team vaak ook het team is die de kwetsbaarheden moet oplossen is de tijd zeer kostbaar. Development is bezig met hun eigen roadmap en wordt bijvoorbeeld niet betrokken bij het opzetten en uitvoeren van pentests. Dit is de taak van het security team. De verantwoordelijkheid ligt hier om samen meer naar DevSecOps te gaan en effectiever te kunnen mitigeren.
78% van de ondervraagden geeft aan dat pentesten een hoge prioriteit heeft. Desondanks pentest slechts 63% het hele applicatie portfolio. Waarom is het onmogelijk? Ondere andere door gebrek aan kennis, waardoor het moeilijk is om de juiste mensen te vinden/inhuren voor pentesten. 58% geeft aan dat pentesten in de huidige vorm te duur is en 61% zegt dat de scope lastig te bepalen is. Timing is een ander belangrijk obstakel. Meer dan de helft geeft aan dat pentesten lastig in te plannen is. Slechts 22% zou pentesten kunnen starten binnen enkele dagen, meer dan de helft zegt dat het weken duurt voordat een pentest gedaan kan worden en zelfs 22% zegt dat het maanden duurt!
De meeste ondervraagden gaven aan dat hun organisatie wel snel kritieke kwetsbaarheden verholpen. Maar voor medium-risks duurt het te lang. Meer dan de helft bekende dat hun organisatie te langzaam lage risico’s oppakt. Een gevaarlijke handelwijze, want deze zogenaamde low-risks kunnen een kettingreactie veroorzaken en escaleren in grote problemen. Een kleine, maar schokkende groep van 1% gaf zelfs aan dat hun organisatie helemaal niks doet met low-risks!
Als een organisatie af en toe een pentest laat uitvoeren, dan zijn de gevonden resultaten van een pentest behoorlijk. Dit is een hele berg om weg te werken voor jouw developers en beheerders. Daarnaast is het ook een risico. Als je vandaag een aanpassing doet op je systeem, netwerk of applicatie en je komt er pas na 6 maanden achter dat je risico hebt gelopen… Een scenario waar je eigenlijk niet aan moet denken.
Met continuous pentesting verminder je de uren die nodig zijn voor het plannen, beheren en uitvoeren van het pentesten. Hiermee houden de security en development teams meer tijd over voor andere kritieke taken. Wekelijks of maandelijks een paar meldingen nalopen is makkelijker dan af en toe een hele berg risico’s moeten mitigeren.
Pentesten alleen zorgt er nog niet voor dat de risico’s gemitigeerd worden. Risico’s moeten ingedeeld worden op prioriteit en gelogd worden voor compliance redenen. En verholpen worden. Een goed vulnerability management dashboard vertelt je de resultaten van je scans en rapporteert waar de kwetsbaarheden zijn gevonden. Vervolgens hoe je deze kan mitigeren. Het dashboard kan je er ook aan herinneren om gemitigeerde kwetsbaarheden opnieuw te testen door scans in te plannen.
Weten hoe continuous pentesting en vulnerability management jouw security beleid kan verbeteren? We geven je graag een proof of concept. Of je nu jouw IT omgeving wil testen of een specifiek onderdeel, wij helpen je. Neem contact met ons op of lees meer over Continuous pentesting & vulnerability management.