Bij Guardian360 krijgen we steeds meer vraag naar pentesten. De naam pentest is afgeleid van de langere term penetratie testen. Hiermee bedoelen we het penetreren van software en/of hardware, met als doel het vinden van zwakke plekken. Dat is nuttige informatie; als je op de hoogte bent van zwakke plekken kan je maatregelen nemen om de kans te verkleinen dat deze worden misbruikt. Handig dus, dat pentesten. Helaas zien wij echter dat het middel vaak verkeerd wordt ingezet. In deze blog schetsen we een aantal problemen die we tegenkomen op dit gebied.
De klant weet niet welk type pentest hij wil
Er zijn verschillende typen pentesten. Wij hanteren bijvoorbeeld Blackbox- en Whitebox-methoden.
Bij een Blackbox-test weten wij zo min mogelijk van wat er achter de applicaties, servers en/of infrastructuur zit. Daardoor kunnen we ons tijdens het testen gedragen zoals een kwaadaardige hacker vanaf internet ook zou doen.
In het geval van een Whitebox-test hebben we wel toegang tot bijvoorbeeld de documentatie van de applicatie, netwerktekeningen en soms zelfs tot het complete systeem/platform of de broncode. Zo kunnen we lekken vinden die anders – onder andere bij een Blackbox-test – heel lastig te vinden zouden zijn. Overigens behandelen we bij een Whitebox-test ook de vragen die we voor een Blackbox-test hanteren.
Onderstaande afbeelding illustreert welke typen er nog meer zijn:
De klant weet niet wat hij wil laten testen
Bij pentesten is het belangrijk om vooraf goed te weten wat je precies wilt laten testen. De scope van de test bepaalt, naast de tijd die ervoor nodig is, ook de vaardigheden die een pentester nodig heeft om de test goed uit te voeren. Een pentest voor je netwerk levert andere vraagstukken (en kosten) op dan wanneer je alleen je active directory laat pentesten.
Het omgekeerde maken we ook mee: soms wil iemand een webapplicatie laten testen, zonder het onderliggende (web)server platform mee te nemen. Daar is in beginsel niets mis mee, mits je alleen iets wilt weten over kwetsbaarheden in de programmeercode. Problematisch wordt het als je na de pentest beweringen gaat doen over de complete webapplicatie. Code kan immers relatief veilig zijn, maar als de onderliggende webserver lekken heeft, kun je alsnog gehackt worden.
De klant bedoelt eigenlijk iets heel anders
Een pentest is vooral mensenwerk. Er komt veel handwerk en intelligentie bij kijken, daarom schakel je mensen in. Voor veel IT-systemen is dat echter een zwaar middel, dat ook nog eens relatief veel budget vergt. Er zijn namelijk ook geautomatiseerde scans, die op 70.000 bekende kwetsbaarheden scannen. Het Guardian360 platform is een voorbeeld van geautomatiseerd scannen. Heeft jouw organisatie nog nooit een securityscan laten uitvoeren, dan is het vaak voordeliger om eerst te kiezen voor een geautomatiseerde securityscan. Niet alleen vinden deze scanners al een hoop kwetsbaarheden die een organisatie moet verhelpen, ze geven ook een goed beeld van onderdelen in de IT-infrastructuur die nader onderzoek vergen. Dat laatste helpt weer om de scope van een eventuele pentest te bepalen. We schrijven hier bewust ‘eventuele’, omdat veel organisaties op dat moment besluiten dat de investeringen in een pentest niet meer opwegen tegen de schade die misbruik als gevolg kan hebben.
De klant heeft niet de juiste motivatie
Wanneer jouw organisatie een pentest wil laten uitvoeren om aan derden aan te tonen dat zij ‘veilig’ is, dan heb je de verkeerde motivatie. Een goede informatiebeveiliger zal nooit zeggen dat je veilig bent, dit is namelijk niet te garanderen of hard te maken. Kans op een incident blijft, welke maatregelen je ook treft.
Er zijn ook organisaties die door hun auditor of accountant gevraagd worden een pentest uit te laten voeren. Nee zeggen op zo’n verzoek is lastig, maar je moet voorkomen dat het een vinkje wordt dat je moet zetten. Als je een pentest uit laat voeren zonder serieus met de uitkomsten aan de slag te willen gaan, dan ben je wat ons betreft niet goed gemotiveerd.
Maatregelen om schade te beperken ontbreken
Bij een pentest bedenkt de security engineer manieren om in je systeem in te breken. Afhankelijk van de scope en het type pentest horen daar werkzaamheden bij die in potentie kunnen zorgen dat een systeem offline gaat. In een extreem geval kan een systeem zodanig worden beïnvloed dat er een back up teruggezet moet worden. Gelukkig komt dit niet vaak voor, maar als opdrachtgever moet je er wel rekening mee houden dat de mogelijkheid er is. Het is dus belangrijk ervoor te zorgen dat er maatregelen zijn getroffen om schade te voorkomen.
Conclusie
Een pentest kan in veel gevallen nuttig en wenselijk zijn. In sommige gevallen is dit echter niet het geval. Bedenk daarom van tevoren goed welk type pentest je wilt laten uitvoeren, wat de scope is, welke motivatie je hebt om de test uit te laten voeren en of er voldoende maatregelen getroffen zijn om eventuele nadelige effecten van de pentest te voorkomen. Meer weten? Neem contact met ons op!