CYBER SECURITY.
CYBER SECURITY.
Pentests
Preventie
Inzicht
Cyberlab

De vulnerability scan, de pentest en hun verschillen

Pentests, vulnerability scans, security audits: er zijn een hoop tests die de staat van uw cybersecurity onder de loep nemen. In de praktijk zien we het regelmatig gebeuren dat er om een vulnerability scan wordt gevraagd, terwijl een pentest nodig is. Maar wanneer vraagt u dan naar een pentest? En wanneer een vulnerability scan?
16 november, 2020

Pentests en vulnerability scans: het begint met de vraag

Uiteindelijk maakt het natuurlijk niet veel uit welke vraag u stelt. U mag ervan uit gaan dat het bedrijf waar u uw securityvraagstuk neerlegt altijd doorvraagt naar de onderliggende behoeften. Zo krijgt u als het goed is altijd de test die uw organisatie verder helpt. Toch ervaren we dat velen het interessant vinden meer over de verschillen te weten: daar gaan we in dit artikel dus dieper op in!

Wat is een vulnerability scan?

Zoals de naam al doet vermoeden, testen we met een geautomatiseerde vulnerability scan de kwetsbaarheden binnen uw bedrijf. We inventariseren hoe (een onderdeel van) de IT-infrastructuur in elkaar zit en welke doelwitten – binnen de context van uw organisatie – mogelijk interessant zijn voor hackers. Denk hierbij aan servers, systemen en laptops. Waar zitten de zwakke plekken? Wat zijn voor aanvallers potentiële mogelijkheden om binnen te komen en schade aan te richten?

Inzicht in de risico’s

Security experts interpreteren de bevindingen en prioriteren de meest kritieke kwetsbaarheden. Dit alles is terug te vinden in een uitgebreid rapport. Daarin leest u welke systemen of servers het meest gevaar lopen. En waarom. Lopen ze risico om beschadigd of ontoegankelijk te raken? Of liggen er datalekken met belangrijke persoonsgegevens op de loer?

De vulnerability scan geeft een breed beeld van de veiligheid van uw IT. In het rapport ziet u welke kwetsbaarheden als eerste aandacht nodig hebben en hoe u eventuele problemen verhelpt. Erg handig dus om in de grote lijnen grote stappen te zetten.

Wat is een pentest?

Tijdens een pentest valt een ethisch hacker handmatig – en binnen een veilige omgeving – uw IT-infrastructuur aan. Met verschillende technieken probeert hij kwetsbaarheden te vinden en uit te buiten. Hij gaat gericht op zoek naar kwetsbaarheden en valt aan. Daarnaast zet de pentester ook tools in om als het ware met hagel te schieten op uw infrastructuur. Zo komen vaak uiteenlopende kwetsbaarheden naar voren.

Waarom een pentester daadwerkelijk aanvalt? Sommige kwetsbaarheden lijken op het eerste oog relatief onschuldig, maar blijken in de praktijk een stuk gevaarlijker. Andere kwetsbaarheden lijken groot, maar zijn uiteindelijk lastiger uit te buiten dan gedacht. Ook haalt deze aanpak de meest geraffineerde kwetsbaarheden boven water. Op die manier kan de pentester heel secuur de gevonden kwetsbaarheden kwalificeren en gericht oplossingen aanbieden.

De verschillen tussen pentests en vulnerability scans

Beide tests hebben als doel kwetsbaarheden in kaart te brengen, te kwalificeren en u te helpen ze op te lossen. Maar wat is dan het grote verschil? Dat zit hem in de aanpak en de kosten. Een vulnerability scan kan hoofdzakelijk geautomatiseerd, waardoor deze een stuk goedkoper is. Daarnaast is hij wat algemener van aard: een vulnerability scan behandelt elke klant ongeveer hetzelfde.

Waar we bij een vulnerability scan vooral algemeen analyseren, gaan we bij een pentest een stap verder. Daarbij probeert de ethisch hacker handmatig als een echte aanvaller uw systeem of netwerk binnen te dringen en de kwetsbaarheden uit te buiten. Dit alles binnen een bijbehorende scope en context.

Een pentest is dus niet alleen een scan, maar een simulering van een echte aanval. Een pentester zou zelfs misbruik kunnen maken van slecht getraind personeel en via hen proberen binnen te komen. Daardoor weet u nog net iets beter hoe goed de digitale omheining van uw bedrijf is. En bent u nog beter in staat gerichte verbeteringen aan te brengen die hackers daadwerkelijk buiten gaan houden.

Wanneer is een vulnerability scan nodig?

Een vulnerability scan is vooral handig als u in grote lijnen inzicht wil krijgen in de kwetsbaarheden binnen uw IT-infrastructuur. Bijvoorbeeld wanneer u net de eerste stappen zet naar een beter securitybeleid. Het geeft een mooie algemene eerste indruk en helpt u om de opvallendste problemen direct op te lossen en in grote lijnen up-to-date te blijven van de stand van zaken. U plukt dus vooral het laaghangende fruit.

Ideaal laat u een vulnerability scan meerdere keren per jaar uitvoeren. Een ander – vaak beter – alternatief is actieve vulnerability management. Hierbij blijft u heel het jaar op de hoogte van actuele kwetsbaarheden.

Wanneer is een pentest geschikt?

Een pentest is vooral geschikt wanneer u binnen een bepaalde scope tot in detailniveau de cyberweerbaarheid van (een deel van) uw organisatie wil laten testen. Doordat een pentester daadwerkelijk aanvalt zoals een hacker dat zou doen, weet u precies waar de meest kritieke kwetsbaarheden liggen. Of niet:

Een pentest is ook heel handig om aan klanten te bewijzen hoe goed u alles op orde hebt. Als een ethisch hacker niet binnen kan komen, kan een aanvaller dat ook niet zomaar.

Over het algemeen is het raadzaam een pentest één of twee keer per jaar uit te laten voeren.

Welke keuze is voor u het beste?

Een combinatie van beiden is de veiligste keuze: daarmee bent u in staat uw IT-infrastructuur zo veilig mogelijk in te richten. Nog beter is vulnerability management in combinatie met een pentest. Daarmee bent u heel het jaar door op de hoogte van kwetsbaarheden. Dan loopt u nooit tegen vervelende verrassingen aan en zijn kwetsbaarheden altijd direct opgelost, voordat een hacker ermee aan de haal kan gaan.

Laat een onafhankelijk expert uw security testen

Een onafhankelijke cybersecurity expert kijkt altijd met hele andere ogen naar uw digitale infrastructuur. Of u nu kiest voor een vulnerability scan, vulnerability management of een pentest: het is altijd goed om uw kop uit het zand te trekken en écht op de hoogte te zijn van kwetsbaarheden. Alleen dan plukt u de vruchten van al uw andere cybersecurity maatregelen.

Inzicht krijgen in de kwetsbaarheden binnen uw organisatie? Neem dan contact met ons op.

Meer kennis over cyber security?

Neem vrijblijvend contact met ons op als u vragen hebt.

Op de hoogte blijven van ontwikkelingen?

Klik hier om u in te schrijven voor onze nieuwsbrief.

Wij werken met veel plezier o.a. voor