NL +31 (0)20 4232420 / SP +34 937 379 542 info@fortytwo.nl

Het verkeerd begrijpen van deze belangrijke tools kan uw bedrijf in gevaar brengen

Het wordt vaak over het hoofd gezien, maar zeer belangrijk processes zijn het testen op kwetsbaarheden, weten of die kwetsbaarheden daadwerkelijk kunnen worden misbruikt in uw specifieke omgeving en te weten wat de risico’s van die kwetsbaarheden zijn voor uw bedrijf. Deze drie verschillende processen staan bekend als een kwetsbaarheidsbeoordeling/vulnerability scan, penetratietest en een risicoanalyse. Het verschil kennen is van cruciaal belang wanneer u een extern bedrijf inhuurt om de beveiliging van uw infrastructuur of een bepaald onderdeel van uw netwerk te testen.
Pentesting, kwetsbaarheidsscans en risicoanalyses zijn drie verschillende manieren om uw systemen te testen op kwetsbaarheden. Laten we deze eens diepgaand bekijken en kijken hoe ze elkaar aanvullen.

Wat is een Vulnerability Scan?

Deze scans, ook wel bekend als kwetsbaarheidsbeoordelingen, zijn doorgaans geautomatiseerd en geven een eerste blik op wat mogelijk kan worden misbruikt. Het is het proces waarbij geautomatiseerde tools worden uitgevoerd tegen gedefinieerde IP-adressen of IP-bereiken om bekende kwetsbaarheden in de omgeving te identificeren. Kwetsbaarheden omvatten doorgaans niet-gepatchte of verkeerd geconfigureerde systemen. De tools die worden gebruikt om kwetsbaarheidsscans uit te voeren, kunnen in de handel verkrijgbare versies of gratis open-sourceprogramma’s zijn.

Het doel van een kwetsbaarheidsscan is om bekende kwetsbaarheden te identificeren, zodat deze kunnen worden verholpen, meestal door de toepassing van door de leverancier geleverde patches. Kwetsbaarheidsscans zijn van cruciaal belang voor het kwetsbaarheidsbeheerprogramma van een organisatie. De scans worden doorgaans ten minste elk kwartaal uitgevoerd, hoewel veel experts maandelijkse scans zouden aanbevelen.

Houd er rekening mee dat deze scanners een lijst met bekende kwetsbaarheden gebruiken, wat betekent dat ze al bekend zijn bij de beveiligingsgemeenschap, hackers en softwareleveranciers. Er zijn kwetsbaarheden die onbekend zijn bij het grote publiek en deze scanners zullen ze niet vinden.

Wat is een Penetratie Test?

In het kort gezegd bieden penetratietesten een diepgaande blik op de gegevensbeveiliging van een organisatie en tillen de kwetsbaarheidsbeoordeling naar een ander niveau. Een goede penetratietester neemt de output van een kwetsbaarheidsanalyse als eerste stap – daarna onderzoeken ze een open poort en kijken wat er kan worden misbruikt.

Het belangrijkste verschil is dat de diepte van het probleem wordt ontdekt en precies wordt ontdekt welk type informatie kan worden onthuld. Het systeem wordt daadwerkelijk binnengedrongen, net zoals een hacker zou doen. Penetratietests kunnen worden uitgevoerd met behulp van geautomatiseerde tools, maar senior testers zoals ook bij Fortywto security zullen eigen exploits vanaf nul schrijven.

Penetratietests worden gecategoriseerd als white box- of black box-tests. White box-tests worden uitgevoerd met volledige kennis van de IT-afdeling van het doelbedrijf. Informatie wordt gedeeld met de tester, zoals netwerkdiagrammen, IP-adressen en systeemconfiguraties. De white box-benadering test de veiligheid van de onderliggende technologie. De black box-test vertegenwoordigt nauwgezet een hacker die probeert ongeautoriseerd toegang te krijgen tot een systeem. De IT-afdeling weet niet dat er een test wordt uitgevoerd en de tester krijgt geen gedetailleerde informatie over de doelomgeving. De black box-methode van penetratietesten evalueert zowel de onderliggende technologie als de mensen en processen die aanwezig zijn om echte aanvallen te identificeren en te blokkeren.

Net als bij een kwetsbaarheidsscan, worden de resultaten meestal gerangschikt op ernst en misbruikbaarheid met de geboden herstelstappen.

Wat is een Risico analyse?

Een risicoanalyse wordt vaak verward met de vorige twee termen, maar het is een heel ander instrument. Een risicoanalyse vereist geen scantools of -toepassingen – het is een discipline die een specifieke kwetsbaarheid analyseert (zoals een regelitem van een penetratietest) en probeert het risico vast te stellen – inclusief financiële, reputatieschade, bedrijfscontinuïteit, regelgevende en andere – aan het bedrijf als de kwetsbaarheid zou worden misbruikt.

Bij het uitvoeren van een risicoanalyse wordt met veel factoren rekening gehouden: activa, kwetsbaarheid, dreiging en impact op het bedrijf. Een voorbeeld hiervan is een analist die het risico voor het bedrijf probeert te vinden van een server die kwetsbaar is voor Heartbleed.

De analist zou eerst kijken naar de kwetsbare server, waar deze zich bevindt op de netwerkinfrastructuur en het soort gegevens dat deze opslaat. Een kwetsbaarheidsscan maakt dit onderscheid niet. Vervolgens onderzoekt de analist dreigingen die waarschijnlijk misbruik zullen maken van de kwetsbaarheid, zoals georganiseerde misdaad of insiders, en bouwt hij een profiel op van capaciteiten, motivaties en doelstellingen. Ten slotte wordt de impact op het bedrijf nagegaan – in het bijzonder, wat zou er voor het bedrijf gebeuren als een georganiseerde misdaadring misbruik zou maken van de kwetsbaarheid en waardevolle gegevens zou verzamelen?

Wanneer een risicoanalyse is voltooid, zal deze een definitieve risicobeoordeling hebben met beperkende controles die het risico verder kunnen verminderen. Bedrijfsmanagers kunnen vervolgens de risicoverklaring en de risicobeperkende maatregelen nemen en besluiten deze al dan niet te implementeren.

Wat is beter? Pentesting, Vulnerability scanning or Risico analyses?

De drie verschillende concepten die hier worden uitgelegd, sluiten elkaar niet uit, maar vullen elkaar juist aan. In veel informatiebeveiligingsprogramma’s zijn kwetsbaarheidsanalyses de eerste stap – ze worden gebruikt om een netwerk op grote schaal te doorzoeken om ontbrekende patches of verkeerd geconfigureerde software te vinden. Van daaruit kan men een penetratietest uitvoeren om te zien hoe misbruikbaar de kwetsbaarheid is, of een risicoanalyse om de kosten / baten van het oplossen van de kwetsbaarheid vast te stellen. U hoeft natuurlijk ook geen risicoanalyse uit te voeren. Risico’s kunnen overal worden bepaald waar een bedreiging en een actief aanwezig is. Het kan een datacenter zijn in een orkaangebied of vertrouwelijke papieren die in een prullenbak liggen.

Het is belangrijk om het verschil te kennen: elk is op zijn eigen manier significant en heeft enorm verschillende doelen en resultaten. Zorg ervoor dat elk bedrijf dat u inhuurt om deze services uit te voeren, ook het verschil kent.

Admin

Lees meer over ‘8 Misvattingen van Penetratie testen’