Veel organisaties vragen in eerste instantie om een penetratietest, echter wanneer doorgevraagd wordt blijkt een pentest geen antwoord te geven op de vraag. De voornaamste redenen waarom een organisatie een pentest wilt laten uitvoeren is:
- Compliancy – De organisatie heeft vanuit beleid, al dan wel niet door wet en regelgeving, de eis dat er periodiek een pentest uitgevoerd wordt.
- Awareness – De organisatie wilt awareness creeeren binnen de organisatie zodat er meer aandacht besteed wordt aan het IT beveiligingsniveau.
Wanneer de pentest gebruikt wordt voor het inzichtelijk krijgen van de aanwezige kwetsbaarheden geeft een pentest een vertekend beeld. Dit heeft te maken met de insteek van de dienst. Hiervoor dienen we onderscheid te maken tussen een aantal verschillende diensten waarvan de termen veelal door elkaar gebruikt worden. Feitelijk bestaan er een drietal type offensieve beveiligingsdiensten. Deze zijn als volgt:
- Penetratietest / Pentest
- Security Assessment
- Vulnerability Scan
De penetratietest ofwel pentest betreft een beveiligingsonderzoek waarbij een (gedeelte van) de infrastructuur of applicatie onderzocht wordt op (bekende) kwetsbaarheden. Dit is veelal een andmatige exercitie. Wanneer een bepaalde kwetsbaarheid is gevonden wordt onderzocht hoe ver deze misbruikt kan worden. Dit geeft een goed beeld van de impact van de gevonden kwetsbaarheid,
maar geeft geen overzicht van alle mogelijk aanwezige kwetsbaarheden. Het doel van een pentest is zo diep mogelijk in het doel te komen met de hoogst mogelijke rechten. In verband met de beschikbare tijd worden overige kwetsbaarheden ongemoeid gelaten.
Een security assessment geeft een zo volledig mogelijke overzicht van alle kwetsbaarheden die aanwezig zijn. Dit traject bestaat uit zowel automatische als handmatige handelingen. Door bij detectie van een kwetsbaarheid deze alleen te bevestigen en niet verder uit te buiten blijft de assessment oppervlakkig. Het doel van een security assessment is zoveel mogelijk kwetsbaarheden ontdekken in het doel.
Het vulnerability scannen is het gebruik maken van automatische scantools waar vervolgens een rapport uit gegenereerd wordt zonder dat de uitkomst hiervan gecontroleerd wordt op false positives.
Een security assessment geeft in de meeste gevallen de meest waardevolle uitkomst voor een organisatie omdat deze het beste beeld geeft van het algehele beveiligingsniveau. Met behulp van deze resultaten kan het algehele kwetsbaarhedenoppervlak verkleind kan worden. Echter is een security assessment pas het begin en start vaak dan pas de uitdaging, namelijk opvolging geven aan de bevindingen met maatregelen zodat deze tot een acceptabel niveau gemitigeerd kunnen worden. Het is dan ook zaak dat na de uitvoering de organisatie voldoende ondersteund wordt in dit traject aangezien hier de winst te behalen valt, en niet met het resultaat van de dienst.
Interesse in een of meerdere van deze diensten? Neem hier contact op!