Tijdens zijn keynote voor Blackhat Europe 2015 stelde informatiebeveiligingsonderzoeker Haroon Meer dat hij in 2011 gestopt is met het uitvoeren van penetratietesten. De reden: hij constateerde dat penetratietesten steeds meer weg krijgen van antivirusprogramma’s. Uit onderzoek blijkt dat de meeste antivirusprogramma’s een groot deel van de bestaande virussen en malware niet herkennen. Organisaties zijn daardoor niet goed beschermd. Conclusie: antivirusprogramma’s bieden geen oplossing.
Bij penetratietesten speelt volgens Meer hetzelfde probleem. Voor veel organisaties is een jaarlijkse penetratietest voldoende om een ‘vinkje’ te kunnen zetten; zij zijn dan weer een jaar compliant. Ook om andere redenen is het niet verwonderlijk dat penetratietesten populair zijn: de werkzaamheden lijken goed te plannen en te budgetteren en er wordt een leesbaar rapport opgeleverd. Daarnaast is de methodiek binnen organisaties inmiddels breed bekend en geaccepteerd. En daar ligt volgens Meer ook een probleem: doordat testen steeds meer routinematig worden uitgevoerd, vergeten testers creatief te zijn en nieuwe invalshoeken voor hacks te bedenken. Kortom, veel penetratietesters vergeten om te testen zoals een hacker dat zou doen. Dit effect wordt in de hand gewerkt doordat er veel ‘low hanging fruit’ is: in vrijwel elke organisatie vind je kwetsbaarheden, zonder daar al teveel moeite voor te hoeven doen.
Moeten we dan maar stoppen met penetratietesten? Volgens mij niet. Ik denk ook niet dat Meer dat beoogde met zijn stelling. Tegelijkertijd is penetratietesten niet de oplossing voor het probleem van kwetsbaarheden in IT-systemen. Om dit op te lossen moeten zowel organisaties als hard- en softwareleveranciers veiliger gaan werken en programmeren. Alleen dan kunnen kwetsbaarheden en misbruik van systemen voorkomen worden Tot het zover is blijft penetratietesten nodig, net zoals je antivirussoftware nodig blijft hebben.
Organisaties moeten goed formuleren en duidelijke kaders stellen waar ze penetratietesters voor inzetten. Natuurlijk is het belangrijk de kroonjuwelen van de organisatie te beschermen, maar er moet ook ruimte zijn voor creativiteit op dit gebied. Guardian360 kan hierbij helpen: doordat wij continu routinematige penetratietesten voor u kunnen uitvoeren nemen we penetratietesters veel werk uit handen, zodat zij zich weer kunnen concentreren op de creatieve aspecten van hun vak!