Het einde van pentesting?

Onlangs deed het Rathenau Instituut een aantal aanbevelingen aan de Tweede Kamer in het kader van cyberdreigingen. Om de weerbaarheid te vergroten zouden er verschillende maatregelen genomen moeten worden. Een van deze maatregelen is een jaarlijkse hacktest voor vitale sectoren, zoals telecom, energievoorziening en de zorg.

Zo’n hack- of pentest is inderdaad een goede maatregel om de weerbaarheid te testen, maar het blijft een momentopname. Stel je hebt fors geïnvesteerd in een SIEM. Hoe toets je dan of het doet wat het zou moeten doen? Volgens de GDPR moet je ‘state-of-the-art’ beveiligingsmaatregelen treffen. Hoe toets je of jouw maatregelen dit inderdaad zijn?

Kortom: hoe weet je of je IT-security wel goed is als je die niet voortdurend test?

24/7 testen: dat is toch niet te betalen?

Met een eigen in-house red team van ethische hackers kun je 24/7 testen. Maar zo’n team is zeer kostbaar en daarmee alleen weggelegd voor de allergrootste bedrijven. Gelukkig bestaat er nu zoiets als geautomatiseerd testen. Hoe werkt dat? Een geautomatiseerd testplatform simuleert continu realworld hacks. Hiermee vind je proactief gaten voordat een hacker dat doet. Je kunt het zien als een 24/7 virtueel red-team. En een virtueel red-team is wél betaalbaar. Continu testen wordt op deze manier voor veel meer organisaties bereikbaar.

Maar wat zijn nou de belangrijkste verschillen tussen pentesten en geautomatiseerd testen? Die hebben we hier op een rijtje gezet:

1. Momentopname (pentest) vs. continuïteit

Een pentest is altijd een momentopname. Een dreiging die niet door het beveiligingsplatform gedetecteerd wordt, komt pas bij het eerstvolgende testmoment aan het licht. Bij een jaarlijkse frequentie zou dat in het ergste geval betekenen dat een bepaalde zwakke plek pas na bijna een jaar aan het licht komt.

Het testplatform voert 24/7 geautomatiseerd op een veilige manier aanvallen uit op het netwerk. Zwakke plekken komen niet pas bij de eerstvolgende pentest boven water, maar direct.

2. False positives vs. bewezen lekken

Een nadeel van pentesten is de kans op false positives. Als deze te vaak voorkomen, zal het vertrouwen in de pentest in de toekomst wellicht minder worden. Daarnaast zorgen false positives voor onnodig werk, want je onderneemt immers actie op ‘valse’ meldingen.

Het geautomatiseerd testplatform meldt een lek alleen als het een bewezen lek is. Er gaat dus geen onnodige tijd en moeite meer zitten in het onderzoeken van zwakke plekken die in feite geen zwakke plek zijn.

3. Opdracht afhankelijk vs. complete IT-security

Een pentest is opdracht afhankelijk en heeft een bepaald doel. Daarmee beperk je de reikwijdte en bestaat de kans dat er kwetsbaarheden buiten beeld blijven.

Het geautomatiseerd testplatform wordt geïntegreerd in de gehele IT-infrastructuur. Het ziet welke correlatie er is tussen de verschillende systemen en welke impact een aanval heeft. Er is dus geen beperking tot een bepaald terrein.

4. Persoonsafhankelijk vs. hacker’s point of view

Een pentest is persoonsafhankelijk. De test kan maar zo ver gaan als de kennis van de tester reikt. En ook al heb je een heel team van pentesters, de zekerheid dat ze op de hoogte zijn van de laatste nieuwe malware en zero-day exploits is er niet.

Het geautomatiseerd testen gebeurt vanuit het oogpunt van de hacker. En dat is niet beperkt tot de kennis van één hacker of een team van hackers. Alle bekende hackmethodes zijn verzameld en worden ingezet om 24/7 aanvallen te simuleren.

De aanvalsmethodes die het platform gebruikt zijn gebaseerd op waargebeurde incidenten. Uiteraard komen hier steeds nieuwe methodes bij en die worden automatisch toegevoegd aan het platform.

Uw eigen geautomatiseerde hacker

Ten opzichte van pentesten zien wij de continuïteit van een geautomatiseerd testplatform als het grootste voordeel. Daarom werkt ON2IT met SafeBreach. Met het SafeBreach ‘breach & attack’ simulatie platform richt uw eigen virtuele hacker zich vooral op het ontdekken van mogelijkheden om een netwerk binnen te dringen en mogelijkheden om gegevens te lekken. De virtuele hacker kijkt naar complexe scenario’s, waarbij meerdere systemen betrokken zijn. Door 24/7 aanvallen in een veilige omgeving te simuleren – krijgt u de tijd om kritieke risico’s aan te pakken en de incidentresponse in het geval van een incident te verbeteren.

Het SafeBreach platform valideert:

  • IT-security na infrastructurele wijzigingen
  • het securitybeleid (policy)
  • de effectiviteit van de firewall
  • effectiviteit van SIEM
  • de mogelijkheden tot data exfiltratie

Het geeft u meer inzicht in de weerbaarheid van de infrastructuur en cloud security en helpt u ‘state-of-the-art’ te bewijzen voor de GPDR. Bovendien biedt het zicht op de mogelijkheid tot SCADA lekken.

Periodiek pentesten behoort hiermee (nog) niet tot het verleden, maar het is een belangrijke stap in die richting.