Penetratietesten
Penetratietesten brengen de kwetsbaarheden van de organisatie op het gebied van cyberbeveiliging aan het licht door het netwerk, de applicatie, de apparaten en/of de fysieke beveiliging te bekijken door de ogen van een kwaadwillende. Een ervaren penetratietester kan bepalen:
- Waar een hacker zich op zou kunnen richten
- Hoe er wordt aangevallen
- Hoe goed uw verdediging zou standhouden
- De potentiële omvang van de inbreuk
Defecten in de applicatie laag, fouten op netwerk- en systeemniveau en kansen om fysieke beveiligingsbarrières te doorbreken zijn allemaal doelen van penetratietesten. Hoewel geautomatiseerde tests sommige cyberbeveiligingsproblemen kunnen detecteren, wordt bij handmatige penetratietests rekening gehouden met de kwetsbaarheid van de organisatie voor aanvallen. Dit proces kan één tot twee weken duren, afhankelijk van de penetratietesters of het hoofddoel van de organisatie.
Penetratietesten zijn een noodzaak geworden voor de meeste sectoren in het complexe cyberbeveiligingslandschap. In veel gevallen is het zelfs wettelijk verplicht. Bijvoorbeeld,
- onder HIPAA moeten gezondheidsorganisaties de beveiliging van zorggegevens waarborgen;
- financiële instellingen moeten testen op FDIC-compliance; en
- bedrijven die betaalkaarten accepteren of verwerken, moeten zich houden aan de Payment Card Industry-normen (PCI DSS).
Zelfs organisaties die denken dat ze weinig gevoelige gegevens te beschermen hebben, kunnen kwetsbaar zijn voor pogingen om het netwerk over te nemen, malware, services verstoringen en meer. Penetratietesten houden gelijke tred met de ontwikkeling van technologie omdat er zoveel slechte actoren zijn.
Uw IT-team ontwerpt, onderhoudt en bewaakt uw beveiligingsprogramma immers dagelijks. Ongeacht hoe goed ze hun werk doen, ze kunnen profiteren van tests door derden vanuit het perspectief van een buitenstaander.
En laten we nu Red Teaming uitleggen.
Red Teaming assessments
Red Teaming stelt de detectie- en reactiemogelijkheden van uw bedrijf op de proef. De beoordeling van het Red team simuleert een kwaadwillende actor die een aanval plant en detectie probeert te voorkomen. Het betekent ook dat de aanvallers niet op zoek zijn naar zoveel mogelijk kwetsbaarheden. In plaats daarvan richt het zich op de kwetsbaarheid die het in staat zal stellen zijn doel te bereiken en de volwassenheid van de interne beveiliging van uw bedrijf uit te testen.
Social engineering, netwerk-, draadloze, externe of fysieke beveiliging en andere technieken worden gebruikt door Red teams, ze vereisen meestal meer mensen, middelen en tijd. Het tijdsbestek van dit type aanval hangt sterk af van de omvang van het bereik, het succes of falen van operaties, beveiligingsniveaus van het doelwit, enz. We raden aan om de term campagne te gebruiken in plaats van een bepaald aantal weken/maanden en deze aan te passen aan de behoeften van elke individuele klant. Een realistische tijdlijn zou tussen de 2-3 maanden zijn.
Red teams worden eerder ingezet door organisaties met een meer volwassen of geavanceerde beveiliging (hoewel dit niet altijd het geval is). Ze zijn op zoek naar iemand om binnen te komen en te proberen toegang te krijgen tot gevoelige informatie, of om de verdediging te doorbreken op welke manier dan ook, vanuit een breed perspectief, zelfs nadat er penetratietesten zijn uitgevoerd en de meeste zwakke punten reeds verholpen zijn.
Hierdoor kan een team van beveiligingsexperts inzoomen op een specifiek doelwit en jagen op interne kwetsbaarheden door fysieke en elektronische social engineering-technieken toe te passen op de medewerkers van de organisatie, en fysieke zwakheden te misbruiken om toegang tot het pand te krijgen.
Red teamers nemen de tijd om te voorkomen dat ze ontdekt worden (net zoals de cybercrimineel zou doen). Onze Red Team assessment is een uitgebreide aanvalssimulatie die wordt uitgevoerd door onze hoog opgeleide beveiligingsprofessionals om:
- Identificatie van fysieke, hardware-, software- en menselijke kwetsbaarheden.
- Realistisch inzicht krijgen in de risico’s voor uw organisatie.
- Assisteren bij het aanpakken en corrigeren van alle geïdentificeerde beveiligingsproblemen.
Kies ik voor Red teaming of een penetratietest?
De twee vertegenwoordigen verschillende opties voor een bedrijf dat zijn cyberbeveiliging wil versterken, en het kan moeilijk zijn om te bepalen welke het beste aansluit bij uw organisatie.
Penetratietesten zijn erop gericht om zoveel mogelijk kwetsbaarheden en configuratiefouten te ontdekken, deze te misbruiken en de risico’s te beoordelen. Een grappig perspectief is dat de pentesters piraten zijn die op hun hoede zijn, en die graag alles willen grijpen waar en wanneer ze maar kunnen. Red teamers zouden, in deze analogie, meer op ninja’s lijken, die onzichtbare, veelzijdige, gecontroleerde en gerichte aanvallen plannen.
Je zou geen ninja’s sturen om te zoeken naar alle begraven schatten in een bepaald gebied. Je zou ook geen luidruchtige piraten op een geheime missie willen sturen. Dat is precies het punt dat we proberen te illustreren. Als het gaat om de keuze tussen red teaming en pentesting, komt het er op aan waar u naar op zoek bent en in welke fase uw organisatie zich bevindt.
Als de beveiliging van uw bedrijf nog in de kinderschoenen staat, raden we aan om pentesting te gebruiken. We raden aan om een Red team te gebruiken als uw bedrijf vertrouwt op volwassen beveiligingsprogramma’s.
Neem de tijd om na te denken over wat het beste is voor uw bedrijf op het gebied van het scannen van kwetsbaarheden voordat u een overhaaste beslissing neemt. Wilt u een beveiligingsexpert spreken om te beslissen welke voor u geschikt is? Neem contact met ons op via info@fortytwo.nl.