Elk bedrijf bezit waardevolle informatie, ook al beseft niet iedereen dat. Denk maar aan salarisgegevens, e-mails van klanten, R&D-informatie, kredietkaartgegevens van klanten, patiënteninformatie, ... Zelfs als de gegevens op zich niet waardevol zijn, kan het uitlekken ervan een bedrijf reputatieschade berokkenen. Pentesting - kort voor penetratietesten - kan een organisatie helpen te achterhalen hoe goed beschermd - of hoe kwetsbaar - haar informatie en IT-infrastructuur zijn.
Laten we niet flauw doen: het aantal cyberaanvallen zal alleen maar toenemen, en deze aanvallen worden steeds geraffineerder. Een hacker heeft alle tijd van de wereld en geen budgetbeperkingen. Als iemand er op uit is om door uw beveiliging heen te breken, kan hij informatie over uw bedrijf blijven verzamelen en duizend keer proberen om uw systemen binnen te dringen. Een pentester doet precies hetzelfde. Deze ‘ethische hacker’ zoekt informatie over uw infrastructuur en beveiligingsapparatuur, onderzoekt kwetsbaarheden en gaat na hoe hij deze zwakke punten kan uitbuiten.
Helaas zijn niet alle pentesters gelijk geschapen en kan het moeilijk zijn het juiste bedrijf te kiezen om mee samen te werken. Deze vragen zullen u helpen de beste pentester te vinden.
Bent u gecertificeerd?
Hackers worden steeds slimmer, en pentesters zouden dat ook moeten worden. Er bestaan een aantal certificeringen, zoals GPEN van SANS, die garanderen dat pentesters over de juiste kennis en instelling beschikken. Om deze certificering te behouden, worden ze op de hoogte gehouden met de nodige trainingen. NATO-clearance is een bewijs van goed antecedentenonderzoek. NATO-clearance gaat veel verder dan het ophalen van een bewijs van goed gedrag en zeden bij de gemeente.
Welk rapport levert u af?
Neem geen genoegen met een eenvoudige afdruk van de testresultaten van een analyse-instrument. Een goede pentester zal een manueel rapport afleveren, dat rekening houdt met de context en met een aantal aanbevelingen komt. Iedereen kan geautomatiseerde testresultaten afleveren, het is veel moeilijker om resultaten te analyseren en te interpreteren. Dat is wat een goede pentester zal doen.
Heb je ervaring in het veld?
Hoewel wij het grootste respect hebben voor professionals die dag in dag uit pentests uitvoeren, is het altijd beter om een pentester in te huren die ook praktijkervaring heeft als ingenieur en als integrator. Een beveiligingsspecialist, die ook betrokken is bij de implementatie van beveiligingsapparatuur, weet uit ervaring wat er mis kan gaan bij de installatie. Met deze achtergrond kan de pentester efficiënter resultaten boeken.
Wat is je methodologie?
Er zijn een aantal benaderingen mogelijk bij het uitvoeren van een pentest. Er wordt vaak gesproken over black box testing (waarbij de tester begint met geen enkele systeemkennis), white box testing (waarbij de pentester een lading informatie krijgt aan het begin van het proces) en grey box testing (waarbij de pentester beperkte informatie krijgt). Hoewel alle drie de benaderingen geldig zijn, is het heel belangrijk om een pentester te vragen welk proces wordt gevolgd, welke verschillende stappen worden genomen en welke tools worden gebruikt in welk deel van het proces. Bij Simac bevelen we een aanpak aan die de drie traditionele soorten pentesting combineert.
Gaat u verder dan een audit?
Bij beveiligingsaudits wordt meestal gebruik gemaakt van interviews en inventarisaties van de geïnstalleerde beveiligingssystemen. Pentesting gaat veel verder dan dat en stelt de systemen daadwerkelijk op de proef, waarbij vaak problemen worden ontdekt die bij een audit onopgemerkt blijven.
Welke tools gebruik je?
Gereedschap speelt een sleutelrol bij een pentest. Met behulp van hoogwaardige tools kan ervoor worden gezorgd dat zowel de testparameters als de resultaten van hoge kwaliteit en betrouwbaar zijn. In de handen van een goed opgeleide penetratietester zullen deze tools een testset met kwaliteitsgarantie opleveren die kan worden gebruikt om een IT-infrastructuur nauwkeurig te beoordelen door bestaande kwetsbaarheden te penetreren. Tools zijn geen doel op zich: er zal altijd een menselijke deskundige nodig zijn om de resultaten te beoordelen en te interpreteren.
Zal je mijn systeem beschadigen?
Een hacker kan erop uit zijn om schade toe te brengen aan uw systemen, waardoor uw normale activiteiten worden geblokkeerd. Wanneer een ethische hacker kwetsbaarheden probeert te vinden, kan hetzelfde gebeuren. Gelukkig laat een pentester u eerst de nodige back-ups maken, zodat systemen onmiddellijk kunnen worden hersteld.
Denk je aan architectuur?
Informatiebeveiliging is een legpuzzel waarbij alle stukjes netjes in elkaar moeten passen om een optimale beveiliging te garanderen. Een pentester moet verder kijken dan alleen de beveiligingsinfrastructuur en heeft ook kennis nodig van netwerken, besturingssystemen, ... Alleen iemand die een helikopterview heeft en het grotere plaatje ziet, kan alle onderdelen van het infosecurity landschap evalueren. Een architecturale visie is een noodzaak voor een pentester.
Wanneer zien we elkaar nog eens?
Een pentest levert een momentopname van uw huidige informatiebeveiligingsstatus. Als er iets verandert, bijvoorbeeld door de implementatie van een nieuwe applicatie, kunnen er nieuwe kwetsbaarheden ontstaan. Daarom raden wij aan om minimaal één keer per jaar een pentest uit te voeren, maar bij voorkeur elke keer als een belangrijke nieuwe applicatie in productie wordt genomen.
Elk type bedrijf is kwetsbaar, groot of klein, commercieel of non-profit. Dus elke organisatie zal baat hebben bij een pentest. Bedrijven denken misschien dat ze goed uitgerust zijn met firewalls, anti-virus,... maar maximale veiligheid is moeilijk te verkrijgen. Pentesting kan u helpen te beoordelen hoe veilig u bent.
Simac ICT België beschikt over een aantal ervaren pentesters die bedrijven kunnen helpen hun beveiligingsniveau te verhogen. Stel ons gewoon de vragen die u wilt stellen. Wij hebben de antwoorden.
