Pentesting moet beter. Maar hoe?

Pentesting moet beter. Maar hoe?

16 November 2021 door in Security

Pentesting moet beter. Maar hoe? Wat maakt regelmatig pentesten een moeilijke opgave en welke kwetsbaarheden vindt men vooral? Hoe zorg je ervoor dat je als organisatie wel regelmatig pentest en aan goed vulnerability management doet?

Pentesting is duur

Pentesten is te duur en te omslachtig in de huidige vorm. Volgens een onderzoek onder 600 IT-professionals gedaan door Cobalt is iedereen het erover eens dat pentesten cruciaal is. Van de 600 professionals zou 74% hun systemen en applicaties vaker testen als het proces niet zo omslachtig was.

En dat is zonde: bijna alle ondervraagden zijn van mening dat het hun organisatie op lange termijn geld bespaart door inbraken te voorkomen en 88% geeft aan dat het de security processen verbetert en uiteindelijk meer geld bespaart.

Welke kwetsbaarheden vindt men vooral tijdens het pentesten?

Volgens het rapport is de top 5 al sinds 2018 hetzelfde. Hoewel de volgorde van nr 2 t/m 5 wat is verschoven in de afgelopen jaren heeft “Server Security Misconfigurations” altijd op 1 gestaan. De onderzoekers geloven dat security teams moeite hebben met het effectief verwijderen en voorkomen van deze vaak voorkomende zwakheden. Dit zou kunnen duiden op gaten in development met betrekking tot security, niet genoeg investeringen in security en trainingen of bijvoorbeeld dat bugs/zwakheden open blijven staan omdat het risico te laag wordt ingeschat.

Top 5 meest voorkomende vulnerabilities

  1. Server Security Misconfigurations (28,1%)
  2. Cross-Site Scripting (15,5%)
  3. Broken Access Control (14,7%)
  4. Sensitive Data Exposure (8,4%)
  5. Authentication and Sessions (8%)

Verschillende kwetsbaarheden en risiconiveaus per sector

Niet elke sector krijgt te maken met dezelfde kwetsbaarheden. Voor SaaS, Healthcare en de fintech sectoren komen cross-site scripting (stored of reflected), broken access control: Insecure Direct Object References (IDOR) en verouderde software het meest voor. Dat betekent echter niet dat elke sector hetzelfde risiconiveau kent. Voor SaaS en fintech bedrijven zijn de netwerken en applicaties bedrijfskritisch. Sectoren die gevoelige informatie bewaren zoals Healthcare moeten een hogere prioriteit geven aan kwetsbaarheden zoals IDOR. Het risico is hier veel groter voor zowel de organisatie als de klanten.


Waarom hebben bedrijven moeite met kwetsbaarheden die al heel lang bekend zijn?

Kwetsbaarheden detecteren voordat code live gaat is lastig

Een theorie is dat het detecteren van kwetsbaarheden voordat code live gaat nog steeds een work in progress is. Deze kwetsbaarheden glippen langs eerste checks en komen vervolgens naar boven bij third party tests. Hoewel security teams in de development lifecycle diverse manieren hebben om code te checken (code reviews, threat modeling, abuse case tests etc), wordt niet alles even grondig gecheckt.

Lees ook: Security vs innovatie: tussen development en wet- en regelgeving.

Samenwerking tussen development en security verloopt moeizaam

De samenwerking gaat niet altijd soepel tussen security en de development teams. De meerderheid zegt dat de samenwerking (veel) beter kan. Inefficiënte workflows en weinig automation integrations zijn hordes die de samenwerking tegenhouden. DevSecOps implementeren heeft ook uitdagingen. Zo zijn er teveel handmatige processen, mist er kennis, zijn er te weinig AppSec tool integraties, te kleine security teams of een verschil in KPI’s tussen development en security.

Omdat het development team vaak ook het team is die de kwetsbaarheden moet oplossen is de tijd zeer kostbaar. Development is bezig met hun eigen roadmap en wordt bijvoorbeeld niet betrokken bij het opzetten en uitvoeren van pentests. Dit is de taak van het security team. De verantwoordelijkheid ligt hier om samen meer naar DevSecOps te gaan en effectiever te kunnen mitigeren.

Lees ook: De toekomst van DevOps.

Het is niet mogelijk om het volledige applicatie portfolio te pentesten

78% van de ondervraagden geeft aan dat pentesten een hoge prioriteit heeft. Desondanks pentest slechts 63% het hele applicatie portfolio. Waarom is het onmogelijk? Ondere andere door gebrek aan kennis, waardoor het moeilijk is om de juiste mensen te vinden/inhuren voor pentesten. 58% geeft aan dat pentesten in de huidige vorm te duur is en 61% zegt dat de scope lastig te bepalen is. Timing is een ander belangrijk obstakel. Meer dan de helft geeft aan dat pentesten lastig in te plannen is. Slechts 22% zou pentesten kunnen starten binnen enkele dagen, meer dan de helft zegt dat het weken duurt voordat een pentest gedaan kan worden en zelfs 22% zegt dat het maanden duurt!

Het duurt te lang voordat medium of low-risk bevindingen worden verholpen

De meeste ondervraagden gaven aan dat hun organisatie wel snel kritieke kwetsbaarheden verholpen. Maar voor medium-risks duurt het te lang. Meer dan de helft bekende dat hun organisatie te langzaam lage risico’s oppakt. Een gevaarlijke handelwijze, want deze zogenaamde low-risks kunnen een kettingreactie veroorzaken en escaleren in grote problemen. Een kleine, maar schokkende groep van 1% gaf zelfs aan dat hun organisatie helemaal niks doet met low-risks!

Continuous pentesting en vulnerability management is de oplossing

Als een organisatie af en toe een pentest laat uitvoeren, dan zijn de gevonden resultaten van een pentest behoorlijk. Dit is een hele berg om weg te werken voor jouw developers en beheerders. Daarnaast is het ook een risico. Als je vandaag een aanpassing doet op je systeem, netwerk of applicatie en je komt er pas na 6 maanden achter dat je risico hebt gelopen… Een scenario waar je eigenlijk niet aan moet denken.

Met continuous pentesting hou je de kosten beheersbaar

Met continuous pentesting verminder je de uren die nodig zijn voor het plannen, beheren en uitvoeren van het pentesten. Hiermee houden de security en development teams meer tijd over voor andere kritieke taken. Wekelijks of maandelijks een paar meldingen nalopen is makkelijker dan af en toe een hele berg risico’s moeten mitigeren.

Vulnerability management

Pentesten alleen zorgt er nog niet voor dat de risico’s gemitigeerd worden. Risico’s moeten ingedeeld worden op prioriteit en gelogd worden voor compliance redenen. En verholpen worden. Een goed vulnerability management dashboard vertelt je de resultaten van je scans en rapporteert waar de kwetsbaarheden zijn gevonden. Vervolgens hoe je deze kan mitigeren. Het dashboard kan je er ook aan herinneren om gemitigeerde kwetsbaarheden opnieuw te testen door scans in te plannen.

Hoe start je met continu pentesten en vulnerability management?

Weten hoe continuous pentesting en vulnerability management jouw security beleid kan verbeteren? We geven je graag een proof of concept. Of je nu jouw IT omgeving wil testen of een specifiek onderdeel, wij helpen je. Neem contact met ons op of lees meer over Continuous pentesting & vulnerability management.

Weten wat continuous pentesting en vulnerability management voor jouw organisatie kan betekenen? Neem dan contact op!


Neem contact met ons op


Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
Bel me terug