8 misvattingen wegnemen
Penetratietesten zijn van cruciaal belang voor alle soorten organisaties, vooral voor organisaties die onderworpen zijn aan wet- en regelgeving op het gebied van gegevensprivacy. Voordat u penetratietests uitvoert, is het belangrijk om verschillende mythen en verkeerde opvattingen over de praktijk te verdrijven.
1. Penetratie Testen Is hetzelfde als een Vulnerability Assessment
Kwetsbaarheidsbeoordelingen omvatten het identificeren en classificeren van bekende kwetsbaarheden, het opstellen van een lijst met geprioriteerde gebreken die aandacht vereisen en het aanbevelen van manieren om deze te verhelpen. Penetratietests simuleren daarentegen de acties van een aanvaller. De resultaten moeten een rapport bevatten van hoe de tester de beveiliging heeft ondermijnd om een eerder afgesproken doel te bereiken, zoals het schenden van het salarissysteem.
2. Alle Penetratie Testing Tools zijn Hetzelfde
Er zijn veel tools voor penetratietesten op de markt, en testers zouden verschillende oplossingen moeten gebruiken. Meer ervaren testers bouwen echter ook aangepaste tools om verder te gaan dan het normale testbereik. Goed testen vereist uiteraard deskundige vaardigheden en veel ervaring.
3. Geautimatiseerde Security Testen zijn Net zo Goed als Handmatige Penetratie Testen
Veel organisaties gebruiken een combinatie van automatisering en door mensen aangestuurde beveiligingstests, maar ter verduidelijking: geautomatiseerd testen is scannen, geen echte penetratietesten. Beide hebben waarde, maar mensen vinden manieren om systemen te doorbreken die machines niet hebben. Ervaring, creativiteit en nieuwsgierigheid vormen de kern van pentesten, die meestal doorgaan waar automatisering eindigt.
4. Penetratie Testen Laten Alleen Technische Zwakheden Zien
Penetratietesten kunnen social engineering omvatten. Daarom is het belangrijk om voor het testen vast te stellen of de technologie exclusief zal worden geëvalueerd. In sommige gevallen kunnen analisten worden geautoriseerd om meer te doen, zoals het scannen van sociale media op exploiteerbare informatie of proberen gevoelige gegevens van gebruikers via e-mail te phishing.
5. Penetratie Testers Moeten Niets Weten over de Systemen die zij Testen
Zowel mensen die kennis hebben van het beoogde doelsysteem als degenen die dat niet doen, kunnen penetratietesten uitvoeren. Mensen die het systeem begrijpen, kunnen zelfs aanvullende inzichten geven, omdat ze precies weten waarnaar ze moeten zoeken.
6. Alleen Externe Partijen Kunnen Penetratietesten Uitvoeren
Penetratietesten kunnen worden uitgevoerd door medewerkers, aannemers of andere externe derden. Idealiter controleren externe testers periodiek het werk van interne testers.
7. Penetratietesten Uitvoeren is een Luxe die Grotere Bedrijven Alleen Kunnen Veroorloven
Sommige wetten en industrienormen vereisen penetratietesten. Zorgverleners voeren bijvoorbeeld tests uit om ervoor te zorgen dat zij medische gegevens adequaat beschermen. Ondertussen moet elk bedrijf dat creditcards accepteert of verwerkt, voldoen aan de Payment Card Industry Data Security Standard (PCI DSS). Resultaten van penetratietests worden soms aangehaald als bewijs van een goede naleving.
8. Penetratietesting Is Altijd Proactief
Penetratietesten kunnen proactief of reactief zijn. Idealiter worden tests uitgevoerd om een inbreuk te helpen voorkomen. Penetratietests tijdens forensische analyse na een inbreuk kunnen beveiligingsteams echter helpen begrijpen wat er is gebeurd en hoe – informatie die een organisatie ook kan helpen soortgelijke inbreuken in de toekomst te voorkomen.
Vind kwetsbaarheden voordat cybercriminelen dat doen
Als het goed wordt gedaan, kunnen penetratietests organisaties helpen beveiligingsfouten te identificeren voordat cybercriminelen deze kunnen misbruiken. Wees dus niet bang om hulp van buitenaf te zoeken: kwetsbaarheden vinden voordat ze in handen zijn van cybercriminelen, is een veel betere investering dan de rommel opruimen.
Lees meer over het verschil tussen een ‘Penetratie test, Vulnerability scan en Risico analyse’?