Wij passen vaak de metafoor van de Taarten Test toe. We doen dat om uit te leggen welke middelen ingezet kunnen worden om uw website en/of ICT landschap security testen.

In onze gesprekken met onze klanten horen we namelijk vaak “we willen graag een pen-test”. Vaak gepaard met een scope gedefinieerd als “alles”. Meestal blijkt dat onze klant eigenlijk gewoon wilt weten hoe het met de veiligheid zit. De vraag wordt regelmatig gesteld in in de vorm van een oplossing. En dan krijgt de klant al snel wat hij of zij niet zoekt.

In zo’n gesprek begrijpen we dus al snel dat men meestal helemaal geen pen-test (penetratie test) wilt. Onze klant wilt gewoon willen weten wat de algehele staat van de digitale beveiliging is.

Taarten

Stelt u zich eens voor dat een succesvolle hack een taart is. Een met slagroom en de kers en al daarboven! En dat klinkt heel lekker, maar als bedrijf wil je eigenlijk helemaal geen taart hebben. Nou, misschien ter traktatie van een collega. Maar de taart zoals wij bedoelen is een ‘cadeautje’ van de backer, uh, hacker.

Voordat een taart gebakken kan worden, moeten er natuurlijk ingrediënten zijn. Deze ingrediënten zijn de kwetsbaarheden die gebruikt worden in een hack. Maar met ingrediënten alleen lukt het niet. Want als u alles in een kom doet en begint te kloppen, dan zal er waarschijnlijk geen smaakvolle taart tevoorschijn komen. Er is dus ook een recept nodig, de methode om tot de hack op de juiste wijze uit te voeren.

Samengevat, voor een taart hebben we dus ingrediënten en een recept nodig. Voor een hack hebben we dus kwetsbaarheden nodig, en een methode om die hack in te zetten.

Taarten bakken

Nu kan er dus op drie verschillende niveau’s getest worden. En dat is op het niveau van de ingrediënten (de kwetsbaarheden), het recept (de methode) of de taart (succesvolle hack). Laten we beginnen met de taart. Wanneer u precies wilt weten of een taart gebakken zou kunnen worden, dan is een pen-test de aanpak. Dit wordt ook wel een penetratie-test genoemd.

Een pen-test kent een specifiek doel. Namelijk het proberen doorbreken van een specifieke, of een set aan, veiligheidsmaatregelen. Of het proberen in te breken op een specifieke systeem, applicatie, database, of zelfs gebouwen en rekencentra. Met een pen-test wordt dus getest hoe weerbaar een bepaalde omgeving is tegen een inbraak.

Wanneer een pen-test uiteindelijk niet is gelukt, wordt vaak ten onrechte gedacht dat alles veilig is. En wanneer een pen-test wel is gelukt, wordt vaak ten onrechte gedacht dat alles onveilig is. Los van dat veiligheid natuurlijk niet iets absoluuts is. Het doel van de pen-test is niet om te beantwoorden of de algehele omgeving robuust is. Maar juist of een specifieke doelwit te benaderen is.

Het gaat dus echt om de taart, en het recept dat daarbij hoort. Of er ook andere ingrediënten zijn waarmee andere taarten gebakken kunnen worden, wordt in de regel niet uitgezocht.

Begrijp ons niet verkeerd. Een pen-test is een krachtig hulpmiddel om zeer gevoelige systemen of processen te testen. Dergelijke vraagstukken mag je dan ook verwachten bij grotere financiële- en zorg-instellingen. Wij vinden het alleen jammer dat de vaak duurdere ‘pen-test’ dienst ook verkocht wordt aan kleinere bedrijven.

Zoeken naar de ingrediënten

Het is echter ook mogelijk om te zoeken naar ingrediënten voor allerlei soorten taarten. En dan gaan wij rondsnuffelen of we ook deeg, water, suiker, meel, fruit, slagroom, enzovoorts kunnen vinden. Met andere woorden, wij gaan dan op zoek naar de kwetsbaarheden die mogelijk onderdeel zouden kunnen zijn van een hack.

Om wat voor een hack het dan zou gaan weten we niet exact, want dat is niet getest. We zijn niet op zoek geweest naar de taart. Echter, wat nu wel kunnen vertellen is de waarschijnlijkheid waarmee er een taart gemaakt kan worden. En op basis van welke ingrediënten dat zou kunnen gebeuren.

Voorbeelden van kwetsbaarheden zijn niet geïnstalleerde updates, configuratie-fouten, verouderde systemen, ongebruikte software of hardware, open netwerk-omgeving, enzovoorts. Veelal een van de eerste stappen in een hack is het misbruiken van een kwetsbaarheid. En wanneer er voor gezorgd wordt dat er minder kwetsbaarheden zijn, dan is de kans op een hack ook kleiner.

Welke vraag wilt u beantwoord zien?

Dus welke diensten u bij ons zou kunnen afnemen, hangt dus sterk af van de vraag die u beantwoord wilt zien.

Bent u op zoek naar een algehele onderzoek naar de veiligheid van uw omgeving? Dan zult u waarschijnlijk eerder bij een kwetsbaarheden-analyse uitkomen. In het Engels wordt dit vaak ook wel een Vulnerability Assessment of Vulnerability Scan genoemd.

Wilt u weten of een specifieke veiligheidsmaatregel of een specifieke systeem of applicatie doorbroken kan worden? Dan bent u waarschijnlijk beter uit met een echte pen-test. In het Engels heet dat vaak ook wel een Penetration Test.

Een kwetsbaarheden-analyse wordt vaak met geautomatiseerde tools uitgevoerd waarna het rapport geanalyseerd wordt. Met een pen-test gebeurd zoiets ook wel. Maar er wordt ook echt met menselijk handelen hack technieken gebruikt om daadwerkelijk verder te komen. Een pen-test kent dus ook een veel langere doorlooptijd en is in de regel ook (fors) duurder.

Ons advies

Voor het MKB is ons advies daarom meestal in de lijn van een kwetsbaarheden-analyse. Dit is, afhankelijk van de te testen omgeving, een relatief klein onderzoek. En het geeft gericht antwoord op de weerbaarheid van de algehele omgeving.

Vertegenwoordigd u een grotere organisatie, en beschikt u over een Security-team, dan kan een onafhankelijke pen-test zeker zijn waarde kennen. Daarbij zijn er ook nog mogelijkheden zoals een red-team test. Hierbij wordt ook het fysieke domein en uw de rol van uw Security-team meegenomen.

Samenvattend, ook al ziet die taart er lekker uit, in de kern start het met het zoeken naar de ingrediënten. En die kwetsbaarheden kunnen dan opgelost worden. Wilt u meer weten over onze dienst? Klik dan hier.