Beveiliging is als een fort

De beveiliging van jouw digitale assets wordt vaak vergeleken met het verdedigen van een middeleeuws fort, waar jouw bedrijfsnetwerk wordt gezien als een fort dat een vijandige macht wil binnendringen en overnemen. Forten uit die tijd werden beschermd door grachten en hoge, sterke wallen. Samen zorgden deze voorzorgsmaatregelen ervoor dat vijandige legers grote moeite hadden om binnen te komen. Met elke organisatie die naar de cloud verhuist en digitale assets die zich in verschillende netwerken bevinden of soms zelfs gedeeld worden, gaat de vergelijking van de beveiliging van jouw organisatie met een middeleeuws fort niet op. Een ander goed voorbeeld is het Paard van Troje. In deze oude Griekse mythe verstopten Griekse soldaten zich in een houten paard zodat de Trojanen hen zelf zouden dragen en binnenlaten. Het type computervirus dat we nu kennen als een Trojaans paard heeft duidelijke overeenkomsten met de mythe. De moraal van het verhaal is dat je de sterkste verdediging kunt voorbereiden, maar uiteindelijk ben je alleen zo sterk als je zwakste schakel. Weet jij wat jouw zwakke schakel of kwetsbaarheden zijn in jouw digitale assets? Penetratietesten, beter nog PTaaS, is een onmisbaar en noodzakelijk instrument om deze zwakke schakels te vinden en jou de informatie te geven om ze te verhelpen.

Download onze pentest whitepaper!

In onze whitepaper nemen we een deepdive in pentesten en geven we 6 tips om de scoop van jouw pentest te bepalen. Laat je gegevens achter en wij sturen de whitepaper naar jouw inbox:

Wat is pentesten en hoe verschilt het van PTaaS?

Een penetratietest (pentest) is bedoeld om eventuele (potentiële) kwetsbaarheden in jouw digitale assets, zoals jouw apparaten, IT-infrastructuur, web- en/of mobiele applicaties, aan het licht te brengen. Deze test kan worden uitgevoerd volgens verschillende methoden, waaronder white box, black box en grey box pentesting.

• Bij white box pentesting heeft de ethische hacker volledige kennis en toegang tot de interne details van het systeem. Dit omvat informatie zoals broncode, architectuur, systeemconfiguraties en andere relevante documentatie. Met deze kennis kan de hacker een grondige analyse uitvoeren en kwetsbaarheden identificeren die mogelijk over het hoofd worden gezien bij andere testmethoden.
• Bij black box pentesting heeft de ethische hacker geen voorkennis van het systeem. Ze hebben alleen beperkte informatie, vergelijkbaar met een externe aanvaller. Hierdoor kunnen ze de systemen en applicaties testen zoals een echte hacker zou doen. Deze testmethode helpt bij het identificeren van potentiële kwetsbaarheden die kunnen worden misbruikt door externe aanvallers.
• Grey box pentesting valt tussen white box en black box in. De ethische hacker heeft hierbij enige beperkte kennis van het systeem, zoals gebruikersreferenties of een beperkte beschrijving van het netwerk. Deze testmethode simuleert een aanvalsscenario waarin een aanvaller enige voorkennis heeft van het doelsysteem.

PTaaS kan worden uitgevoerd met behulp van een combinatie van deze testmethoden, afhankelijk van de behoeften en vereisten van jouw organisatie. Dit stelt jouw bedrijf in staat om het volledige pentestproces in een cloudgebaseerde omgeving te beheren, waarbij je de controle hebt over welke testmethode wordt toegepast en hoe de bevindingen worden gerapporteerd.

Een ethische hacker probeert de beveiliging van de digitale assets te omzeilen door bijvoorbeeld ongeoorloofde toegang tot systemen en gegevens te verkrijgen of systeemprivileges te verhogen. Op deze manier geeft de ethische hacker jou inzicht in het beveiligingsniveau van jouw digitale assets. PTaaS is in de kern pentesten, maar met deze vorm van penetratietesten wordt het hele proces verplaatst naar een cloudgebaseerde omgeving. Binnen een PTaaS-platform kun je eenvoudig een pentest starten, real-time bevindingen verzamelen en gemakkelijk herhaaltests aanvragen. Op deze manier heb je veel meer controle over het gehele pentestproces en is contact met jouw ethische hacker eenvoudig.

Pentesten is, met de toenemende dreiging van cybercriminaliteit en cyberoorlog, niet langer vrijblijvend. Wetten, jurisprudentie en regelgeving zoals de aankomende NIS2 dwingen organisaties om periodiek pentests uit te voeren. Helaas gebruiken de meeste organisaties pentesten nog steeds ineffectief. De meeste pentesten worden gebruikt nadat een digitale asset is ontwikkeld: het is moeilijk om kwetsbaarheden te verhelpen die worden veroorzaakt door een fout in het ontwerp. Een pentest is ook een momentopname. Waarschijnlijk worden niet alle kwetsbaarheden gevonden en ontstaan er waarschijnlijk volgende week nieuwe kwetsbaarheden.

Een effectief pentestbeleid lost niet alleen kwetsbaarheden op om ernstige problemen op korte termijn te voorkomen. Het zorgt er ook voor dat een organisatie op de lange termijn continu leert van de kwetsbaarheden en uiteindelijk beveiliging inbedt in het ontwerp, de ontwikkeling en de implementatie van digitale assets (shift left). Op deze manier heeft een organisatie minder kwetsbaarheden, vindt ze kwetsbaarheden eerder en verhelpt ze ze sneller.

Pentesten versus kwetsbaarheidsscans

Organisaties verwarren regelmatig een penetratietest met een kwetsbaarheidsscan. De laatste is een geautomatiseerde tool of set van tools die digitale assets scannen op bekende kwetsbaarheden. Sommige scanners kunnen bekende kwetsbaarheden vinden in IT-infrastructuurcomponenten, andere in (specifieke) webapplicaties. Een ethische hacker gebruikt deze tools om informatie te verzamelen over digitale assets. Kwetsbaarheidsscanners zijn over het algemeen beperkt in hun vermogen om kwetsbaarheden te verifiëren, wat kan leiden tot valse positieven of zelfs erger: valse negatieven, en daardoor geen gebruik maken van daadwerkelijke kwetsbaarheden. Kwetsbaarheidsscanners zijn per definitie onvolledig en missen menselijke creativiteit. Veel andere cybersecuritytools, evenals veel cybersecurityregelgeving, zijn gericht op het voorkomen of detecteren van externe aanvallen. Een firewall of virusscanner onderzoekt voornamelijk wat van buiten het netwerk binnenkomt. Andere systemen, zoals IDS/IPS of SOC/SIEM, proberen indringingen van buitenaf te detecteren en te voorkomen. Een pentest biedt echter een geheel andere benadering. Bij een pentest neemt een ethische hacker de rol aan van een 'cybercrimineel' en begint te zoeken naar kwetsbaarheden die kunnen worden uitgebuit. Het grote verschil is dat ze van buitenaf naar binnen kijken om manieren te vinden om toegang te verkrijgen.

Begrijp ons niet verkeerd... een pentest is niet de heilige graal. Een effectief cybersecuritybeleid omvat een samenhangend systeem van maatregelen om bedreigingen te identificeren, assets te beschermen, mogelijke inbreuken te detecteren, te reageren op incidenten en te herstellen van incidenten. Deze maatregelen kunnen organisatorisch, technisch en fysiek zijn.

Hoe werkt Penetration Testing as a Service?

Met Penetration Testing as a Service (PTaaS) wordt het volledige pentestproces verplaatst naar een cloudgebaseerde oplossing. Dit betekent dat het gehele pentestproces plaatsvindt in een cloudomgeving, inclusief het aanvragen van een test, het delen van bevindingen, het uitvoeren van herhaaltests, het chatten met de ethische hacker en het genereren van rapporten. Deze benadering van pentesting is relatief nieuw in de cybersecurity-industrie. Hacksclusive is een van de weinige Nederlandse aanbieders die complete pentestoplossingen bieden op een cloudgebaseerd platform. Hoe werkt een pentest precies in deze situatie? Laten we eens kijken:

• Voorbereiding: Zodra de scope is bepaald en de startdatum is overeengekomen, plannen we een online kick-off vergadering met alle betrokken partijen. Tegelijkertijd kun je teamleden uitnodigen voor het platform en ze toevoegen aan het project. Tijdens de kick-off verduidelijken we de test en ronden we de planning af. We zullen ook alle vereisten voor de test doornemen, zoals het whitelisten van onze IP-adressen, toegang tot de testomgeving, referenties, enzovoort. Ontbrekende informatie wordt op het platform geregistreerd. Na de vergadering wordt de vrijwaringsverklaring digitaal ondertekend door alle partijen via ons platform.
• Informatieverzameling: Zodra de test begint, worden een aantal geautomatiseerde tools geactiveerd om informatie over de assets te verzamelen. Op jouw dashboard kun je zien dat de teststatus verandert van 'gepland' naar 'lopend'. Je kunt ook zien welke ethische hackers betrokken zijn.
• Identificatie van kwetsbaarheden: Op basis van de verzamelde informatie beginnen de ethische hackers te zoeken naar kwetsbaarheden. In het geval van een webtoepassing proberen ze de 'happy flow' te verstoren. Ze maken gebruik van een combinatie van geautomatiseerde scripts, tools en handmatige tests. Het platform helpt de ethische hacker om kwetsbaarheden snel te documenteren met behulp van een database met bekende en/of vergelijkbare kwetsbaarheden. Nieuwe kwetsbaarheden worden aan de database toegevoegd.
• Exploitatie van kwetsbaarheden: Alle kwetsbaarheden worden geverifieerd. Vervolgens probeert de ethische hacker de kwetsbaarheden te exploiteren. Meestal worden deze stappen iteratief uitgevoerd. Het is belangrijk dat ethische hackers creatief zijn in het vinden en combineren van nieuwe kwetsbaarheden. Het platform biedt ethische hackers 'hints', maar de kwaliteit van de hackers is een belangrijk criterium. We geven de voorkeur aan hackers met ervaring in bug bounty-programma's.
• Evaluatie van kwetsbaarheden: Alleen geverifieerde en/of uitbuitbare kwetsbaarheden worden gerapporteerd. De ethische hacker zorgt ervoor dat de reproductiestappen en het bewijsmateriaal volledig zijn en voegt/actualiseert de aanbevelingen. Een kwetsbaarheid die geverifieerd en/of uitgebuit is, wordt geëvalueerd en krijgt een risicoscore (CVSS laag, medium, hoog of kritiek). Dit gebeurt automatisch. Na een handmatige controle door onze kwaliteitsleider wordt de kwetsbaarheid gepubliceerd en zichtbaar in jouw dashboard. Je ontvangt een melding als directe actie vereist is. Je kunt de bevinding direct naar jouw backlog sturen, bijvoorbeeld naar Github of Jira.

Waarom zou je Penetration Testing as a Service vertrouwen?

Goede vraag. Sommige organisaties aarzelen nog steeds om software in de cloud te gebruiken en hun (vertrouwelijke) gegevens toe te vertrouwen aan een cloudprovider, laat staan aan een start-up. Dus waarom PTaaS vertrouwen, en waarom Hacksclusive vertrouwen? Ten eerste, de formele kant.

Hacksclusive heeft een beveiligingsbeleid om ongeoorloofde toegang, wijziging, publicatie of verlies van jouw gegevens te voorkomen. De genomen beveiligingsmaatregelen zijn gebaseerd op ISO/IEC 27002 (2022) en de beveiligingsrichtlijn NCSC (2015). Maatregelen omvatten onder andere de benoeming van een beveiligingsleider, pre-employment screening, fysieke toegangscontrole, MFA, het gebruik van een VPN, enzovoort. Bovendien is ons platform SOC 2-gecertificeerd. Het SOC 2-certificaat wordt toegekend door het American Institute of CPAs (AICPA) en stelt criteria vast voor het beheer van klantgegevens op basis van vijf "vertrouwensdienstprincipes" - beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.

Waarschijnlijk, althans vanuit ons perspectief, is de meer informele kant... om Penetration Testing as a Service met Hacksclusive te vertrouwen, is onze sterke focus op kwaliteitscontrole. Binnen ons platform hebben we de beste ethische hackers en laten we hen doen waar ze het beste in zijn: hacken. Dankzij het platform verliezen onze hackers minder tijd aan projectmanagement en rapportage, waardoor ze zich kunnen blijven richten op pentesten.

PTaaS is snel, betrouwbaar en transparant

Het gebruik van Penetration Testing as a Service is een verstandige eerste stap naar het opbouwen van een cyberbeveiligd bedrijf. Het hebben van het hele pentestproces in een cloudgebaseerde omgeving heeft veel voordelen. Net als de meeste SaaS-tools biedt een cloudgebaseerde omgeving je gemakkelijke toegang tot jouw projecten. Pentests in de cloud kunnen eenvoudig worden aangevraagd en gevolgd, en bevindingen worden onmiddellijk aan jou gerapporteerd. Op deze manier heb je volledige controle en transparantie over jouw pentestproces.

Hacksclusive is een pionier op het gebied van PTaaS en heeft een effectieve manier gecreëerd voor bedrijven om gebruik te maken van de expertise van Hacksclusive met behulp van een toegankelijk en veilig platform. Bedrijven kunnen op een onafhankelijke en professionele manier gemakkelijk een duidelijk beeld krijgen van hun digitale infrastructuur.

Zodra je weet wat jouw kwetsbaarheden zijn, is het oplossen ervan (en het elimineren van jouw risico) een eitje!