De penetratietest: is dat hetzelfde als een security audit? En is er bij het laten uitvoeren van een pentest risico dat systemen kapot gaan? Nu de penetratietest steeds meer bekendheid krijgt, zijn er ook een aantal misvattingen de wereld in geholpen. In dit artikel gaan we er dieper op in en brengen we wat nuance aan.
Wat is een penetratietest?
Allereerst: wat is een penetratietest/pentest ook alweer? Tijdens een penetratietest probeert een ethisch hacker met verschillende technieken toegang te krijgen tot uw digitale omgeving: precies zoals een cyberaanvaller dat ook zou doen.
Alle bevindingen worden opgenomen in een pentest-rapport. Zo krijgt u inzicht in de belangrijke risico’s die uw organisatie loopt. Daarnaast bent u in staat om onopgemerkte kwetsbaarheden die kunnen leiden tot datalekken gericht en tijdig op te lossen. Zeker wanneer uw organisatie veel data verwerkt, is een penetratietest een aanrader. Please Payrolling liet precies om die reden een penetratietest uitvoeren.
De misvattingen over penetratietests
Er valt nog veel meer te vertellen over wat een penetratietest precies is. Nieuwsgierig? In dit artikel gaat onze ethisch hacker dieper in op het pentesten van webapplicaties. Hieronder de meest voorkomende misvattingen en onze kijk erop:
1. Een Vulnerabiliy Assessment en een pentest zijn ook hetzelfde
Net als een penetratietest dat doet, richt een Vulnerability Assessment zich op het achterhalen en classificeren van kwetsbaarheden. Security experts zetten een uitgebreide toolset in om een rapportage te maken.
Hierbij hoeft het daadwerkelijk aanvallen van de infrastructuur niet bij aan bod te komen, wat bij een pentest wel altijd het geval is. Een pentest verifieert daarmee altijd de kwetsbaarheid, terwijl een Vulnerability Assessment inschat dat de kwetsbaarheid er waarschijnlijk is.
2. Penetratietesten en Security Audits zijn hetzelfde
Ja, zowel een pentest als een security audit heeft het doel inzicht te geven in de veiligheid van uw systemen. Daar houden de gelijkenissen echter al op. Waar een pentester de activiteiten van een hacker actief nabootst om kwetsbaarheden te achterhalen, is een security audit een theoretische rapportage aan de hand van een checklist. Beiden op een andere manier handig dus.
3. Een pentest is altijd preventief
In een ideale wereld is een pentest inderdaad altijd preventief. Het geeft tenslotte de mogelijkheid hackers een stap voor te zijn door kwetsbaarheden op te lossen voordat iemand ze kan misbruiken. Maar wist u dat een penetratietest ook handig is ná een datalek? Door te snappen wat er mis is gegaan, is het mogelijk de kwetsbaarheid die heeft geleid tot een datalek te verhelpen. Zo voorkomt u dat u vaker de dupe bent van cyberaanvallen.
4. Penetratietests richten zich alleen op de techniek
Vaak ligt de focus op techniek bij een pentest, dat klopt. Maar wist u dat social engineering net zo goed binnen de scope van een penetratietest kan vallen? Zoals we eerder benoemden, kruipt een ethisch hacker tijdens een pentest in de huid van een aanvaller. Hackers zetten regelmatig phishing-acties in bij een aanval. Het opzetten van een nep-phishingacties om nieuwe wegen naar binnen te ontdekken, kan dus ook binnen de werkzaamheden van een pentester vallen.
5. Een pentest kan alleen op een netwerk
Een pentest is meer een mindset dan een harde opdracht. Alles met hardware en software is te pentesten. Zo testen wij in de praktijk niet alleen netwerken, maar ook webapplicaties, websites, apps, etc.
6. Een geautomatiseerde pentest is een volwaardig alternatief
Het is niets nieuws dat automatisering in sommige gevallen sneller, efficiënter en consistenter is dan het handmatige alternatief. Dat geldt voor een penetratietest niet. Natuurlijk, een geautomatiseerde test/scan levert altijd wat op. Het ontbreken van een specifieke scope, maakt echter dat belangrijke kwetsbaarheden niet altijd bovenwater komen bij een automatische scan.
Zo is een pentest tool niet in staat strategisch te denken zoals een ethisch hacker (en dus ook een aanvaller) dat kan. Daarnaast houdt een tool ook geen rekening met de context van de infrastructuur. We geven hier meer informatie over in dit artikel over pentest tools.
7. Er is een risico dat penetratietests systemen kapot maken
Er zijn organisaties die liever geen pentest laten uitvoeren omdat ze bang zijn dat het schade oplevert. Deze angst is deels terecht. Wanneer iemand niet voldoende verstand heeft van het uitvoeren van een penetratietest loopt u zeker een risico. Experts zijn gewend altijd verantwoordelijk te werk te gaan. Zo testen ze enkel in testomgevingen. Gaat er iets stuk? Dan blijft dat binnen de testomgeving en heeft het geen invloed op de daadwerkelijke infrastructuur. Mits die testomgeving goed ingeregeld is, uiteraard.
8. Een penetratietest is alleen voor grote bedrijven met veel budget
Omvangrijke organisaties die veel data verwerken hebben vaker te maken met klanten die bewijs willen dat hun data veilig is, dan kleinere bedrijven. Daardoor kan het lijken dat pentests vooral worden afgenomen door bedrijven met een flinke jaarlijkse omzet. Toch is een pentest ook interessant en haalbaar voor kleinere organisaties. Zo liet Tech2B recent nog hun webapplicatie testen door ons.
Ook het argument “Bij ons is niets te halen” gaat tegenwoordig helaas niet meer op. Aanvallers richten zich steeds vaker op middelgrote organisaties om via hen bij de grote bedrijven binnen te komen. Des te meer reden om altijd op de hoogte te zijn van de cybergezondheid van uw onderneming dus.
Meer informatie over penetratietests?
Een penetratietest stelt u in staat kwetsbaarheden gericht aan te pakken, nog voordat aanvallers er misbruik van hebben gemaakt. U krijgt zodanig inzicht in beveiligingsproblemen, dat met hagel schieten nooit meer nodig is. Met een pentest weet u dat uw cybersecurity budgetten doeltreffend worden besteed. Daarnaast zijn de kosten van een pentest een stuk lager dan die van het verhelpen van de schade na een cyberaanval.
Heeft u zelf nog vragen over het laten uitvoeren van een pentest? Neem vrijblijvend contact met ons op voor al uw vragen, ook wanneer u enkel nieuwsgierig bent!