“Een pentest is niet eenmalig”: wie zich verdiept in pentests is deze uitspraak vast al eens tegengekomen. Maar wat betekent het nou echt? Hoe vaak zijn penetratietesten daadwerkelijk nodig?
Uitspraken over de niet-eenmaligheid van penetratietesten wekken snel de indruk dat pentesten al snel verandert in een slepend proces. Iets dat – als u niet uitkijkt – maandelijks terugkomt. “Er is geen budget voor periodieke pentests, dus laat die eerste dan ook maar zitten” is dan de gedachte. Logisch maar wel onhandig: want organisaties lopen daarmee een hoop inzicht – en dus veiligheid – mis.
Dus: hoe vaak zijn penetratietesten nodig?
Wanneer u googelt op deze vraag, zijn de antwoorden uiteenlopend. Al lijken “1 keer per 6 maanden” en “nog liever 1 keer per maand” de meest voorkomende reacties. Ja, daar zijn we het mee eens. Maar… Ons échte antwoord is misschien wat onconventioneler: het kunnen er soms ook ietsje minder zijn.
Want laten we realistisch blijven. Niet elke organisatie heeft geld voor een tal aan pentests per jaar. Of genoeg personeel om elke maand te schakelen met een pentester. Kortom: niet elke organisatie is ingericht op maandelijkse of halfjaarlijkse pentests. In dat geval is doelgericht pentesten een goede optie.
Hoe u doelgericht pentesten eruit ziet? Daar gaan we later in dit artikel dieper op in.
Eén pentest is beter dan geen pentest
Omdat een pentest een momentopname is en alleen weergeeft hoe een systeem, website of (web)applicatie er op dat moment uit zag, is periodiek testen altijd het beste. Maar laten we eerlijk zijn: één pentest is beter dan geen pentest. Zeker wanneer een systeem of applicatie al lang in gebruik is, is de kans op kwetsbaarheden bijna gegarandeerd. Een pentest brengt deze in kaart en geeft u de gelegenheid ze te verhelpen.
De voordelen van maandelijkse penetratietesten
Elke maand of halfjaar pentesten is slim, want zo zit het in de routine en is de organisatie gewend erop in te spelen. De verantwoordelijken zijn dan gewend dat er periodiek actiepunten uit een penetratietest naar voren komen. Zijn er kwetsbaarheden? Dan zijn de stappen om deze te verhelpen in dit geval vaak sneller gezet.
Die stappen hoeven niet altijd groots te zijn. Bij de eerste paar pentests komt er vaak veel boven. Maar hoe vaker u penetratietesten laat uitvoeren, hoe minder er – als het goed is – uit naar voren komt. Tenzij u (bijvoorbeeld een applicatie) door blijft ontwikkelen natuurlijk. Dan is de kans reëel dat een pentest altijd nieuwe kwetsbaarheden blootlegt.
Voorbeelden & voordelen van doelgericht pentesten
Het is ook een optie juist doelgericht om te gaan met pentests. Dat houdt in: pentesten op de belangrijke momenten, dus niet op gezette momenten in het jaar. Wat die belangrijke momenten zijn? We zetten een paar voorbeelden op een rijtje:
• Bijvoorbeeld na het ontwikkelen van een (web)applicatie, vlak voor de livegang
• Nadat er nieuwe functionaliteiten zijn geïmplementeerd (of juist tijdens de nieuwe ontwikkelingen)
• Wanneer een systeem of applicatie al lang zonder toetsing in gebruik is
• Op de momenten dat dit moet voor de compliance van een certificaat
• Nadat security verbeteringen zijn doorgevoerd, een controlepentest dus
Vaker pentesten geeft altijd meer inzicht. Maar wanneer periodiek niet mogelijk is, is doelgericht pentesten een goede manier om kosten onder controle te houden en toch inzicht te winnen. Een groot voordeel wanneer uw organisatie het moet doen met beperkte budgetten dus.
Penetratietest in combinatie met vulnerability scans
Wie de cyber security ontwikkelingen een beetje bijhoudt, weet dat er zeer regelmatig nieuwe kwetsbaarheden opduiken. Die ontstaan onder andere wanneer software of besturingssystemen een nieuwe update krijgen. Hoe ernstiger de kwetsbaarheid, hoe groter de kans dat hackers deze massaal exploiteren. De Log4J kwetsbaarheid is daar een goed voorbeeld van.
Om naast pentests op de hoogte te blijven van kwetsbaarheden in aangekochte software, zijn vulnerability scans in de vorm van vulnerability management software een goede toevoeging. Zo verkrijgt u inzicht vanuit beide disciplines (het hele jaar door).
Vragen over penetratietesten en vulnerability scans?
Overweegt u een pentest voor uw organisatie? Of heeft u een vraag over vulnerability scans? Neem vrijblijvend contact met ons op voor meer informatie.
