Als msp help je je klanten met de beveiliging van hun netwerk, hardware en applicaties. Maar ook als je denkt dat je alles hebt dichtgetimmerd, kan het zijn dat je toch iets over het hoofd hebt gezien. Met pentesting of penetratietesten ga je actief op zoek naar de zwakke plekken door te proberen de IT-omgeving binnen te komen, alsof je een cybercrimineel bent.
Wat is pentesting?
Netwerk, applicaties, cloud
Drie soorten pentests
Voldoen aan regelgeving
Uitdagingen bij pentesten
Continu testen
Hoewel het bewustzijn steeds groter wordt, blijft cybersecurity binnen het mkb nog altijd een beetje een ondergeschoven kindje. Dat moet de komende tijd veranderen. Msp’s en hun klanten kunnen er de komende tijd echt niet meer omheen, al was het maar omdat NIS2 in aantocht is. Deze Europese regelgeving op het gebied van cyberbeveiliging moet de weerbaarheid van bedrijven vergroten. Een van de manieren om kwetsbaarheden in de IT-infrastructuur te identificeren en te verhelpen, is pentesting.
Wat is pentesting?
Bij pentesting voeren cybersecurityspecialisten op verzoek van het bedrijf een gecontroleerde aanval uit op een netwerk, applicatie of infrastructuur. Door de werkwijze van cybercriminelen na te bootsen, komen de zwakke plekken in beeld en kunnen mogelijke beveiligingslekken worden gedicht voordat échte cybercriminelen ze ontdekken en misbruiken om toegang te krijgen tot gevoelige data, ransomware te installeren of andere schadelijke acties te ondernemen.
Een pentest gaat daarmee verder dan een security audit, waarbij alleen kwetsbaarheden in kaart worden gebracht, maar geen pogingen plaatsvinden om in te breken. Pentesters zoeken actief naar manieren om interne informatie te lekken, voeren een DDoS-stresstest uit en analyseren of gebruikersrechten goed zijn geconfigureerd.
Netwerk, applicaties, cloud
Pentesting kan zich richten op verschillende aspecten van de IT-omgeving. Vaak komt het netwerk als eerste in aanmerking, inclusief firewalls, switches, routers en servers. Maar pentesting kan ook worden uitgevoerd bij (web)applicaties, waarbij wordt gekeken of fouten in de code, slechte configuraties en verificatie van gebruikers de applicatie kwetsbaar maken. Steeds meer pentesten richten zich daarnaast op de cloudomgeving, waarbij grondig de configuratie en veiligheid van clouddiensten, -applicaties en platformen wordt onderzocht.
Soms is social engineering ook onderdeel van pentests. Door bijvoorbeeld een phishingaanval te simuleren, komen de testers erachter of medewerkerkers deze herkennen. De term red team valt vaak in combinatie met pentesten. Red teams bestaan uit specialisten die verschillende technieken combineren om geavanceerde aanvallen na te bootsen en erachter te komen hoe goed het bedrijf daartegen bestand is.
Drie soorten pentesting
We onderscheiden grofweg drie soorten penetratietests.
- Black box. Hierbij krijgt de tester zo min mogelijk informatie over de testen omgeving. Met eigen expertise en apparatuur moet de expert het systeem kraken. Het simuleert het gedrag van een externe hacker die geen enkele kennis over het bedrijf heeft. Het is een goede manier om de algemene security van een netwerk of applicatie te controleren omdat het een echte cyberaanval goed nabootst.
- Grey box. De tester krijgt beperkte informatie over het netwerk, systemen of applicaties. Met een gebruikersaccount simuleert de test iemand die op een of andere manier al toegang heeft tot het systeem of de applicatie. Het voordeel van deze methode is dat de test gericht kwetsbaarheden op kan sporen, wat het testen efficiënter maakt dan black box pentesten.
- White box. Hierbij krijgt de tester volledige toegang met genoeg rechten tot het netwerk of de applicatie, zelfs compleet met broncode en andere inside-informatie. Door deze methode is de test bijzonder grondig omdat bijvoorbeeld ook wordt gekeken naar de kwaliteit van de code en het ontwerp van applicaties. Deze vorm van pentesten wordt veel gebruikt voor kleinere applicaties die wel belangrijk zijn voor het bedrijf.
Voldoen aan regelgeving
Natuurlijk voeren bedrijven een pentest vooral uit om hun weerbaarheid tegen cybercriminaliteit te vergroten. Maar zo’n grondige test helpt bedrijven ook om te voldoen aan eisen op het gebied van compliance en regelgeving. Met een pentest laat je als bedrijf zien dat je je best doet om een veilige omgeving te handhaven, waardoor het risico op aanvallen, en de boetes en reputatieschade die daarbij komen kijken, wordt verminderd. Het gaat daarbij om de AVG, maar ook om beveiligingsnormen zoals ISO 27001 en het eerdergenoemde NIS2.
Uitdagingen bij pentesten
De drempel om pentesten uit te voeren, kan hoog zijn. Zo wil je dat de acties zo min mogelijk invloed hebben op de werkomgeving. De tests moeten op een gestructureerde manier plaatsvinden aangezien het vaak om complexe IT-systemen gaat. Het is bovendien een doorlopend proces: een pentest is altijd een momentopname. De IT-organisatie verandert continu en dat geldt ook voor de strategieën van aanvallers. Dat alles kan pentesten een dure en arbeidsintensieve aangelegenheid maken.
Continu testen
Het goede nieuws is dat bedrijven niet permanent een red team over de vloer hoeven te hebben om de security te verhogen met pentesten. Zo kun je overwegen om regelmatig kleine pentesten uit te voeren in plaats van het direct grootschalig aan te pakken. Je kunt je bijvoorbeeld focussen op de meest kritieke systemen en applicaties.
Daarnaast bespaar je tijd en human resources door tools voor geautomatiseerde pentesting te gebruiken, Pentesting as a Service. Die tools kunnen continu testen, wat de kans op het vinden van kwetsbaarheden vergroot. Bovendien zijn de kosten daarvoor een stuk lager, waardoor pentesten ook voor kleinere bedrijven mogelijk wordt.