Executives Guide: Penetration Testing and Ethical Hacking

Als security blogger voor SALT schrijf ik regelmatig over de beveiligingsmaatregelen die je “al jaren geleden had moeten implementeren”, om ongevallen te voorkomen waar je waarschijnlijk momenteel niet direct door bedreigd wordt. Het is iets wat iedereen in mijn branche doet: de boeman uithangen. We zijn als specialisten opgeleid in het herkennen van beveiligingsrisico’s en gebruiken onze ervaring en kennis om hier oplossingen voor te bedenken. Het enige wat we dan nog missen is de wijde implementatie van die oplossingen, om in onze ogen de wereld veiliger te maken. In deze aankomende serie artikelen wil ik eens een ander geluid laten horen. Niet een van angst en beschaming, maar van kansen en mogelijkheden. Ik wil je meenemen in mijn wereld door, maar dan door het kijkglas van een directielid.

De wereld van technologie is vele dingen: vernieuwend, innovatief, een oneindige cash cow, een redder, maar ook relatief jong, altijd veranderend, duur en gevaarlijk. Daarom willen wij als securityspecialisten orde scheppen in de chaos, om je te kunnen vertellen over het oplossen, of nog liever voorkomen van catastrofale beveiligingsincidenten. In dit eerste artikel wil ik het daarom hebben over pentesting en ethical hacking.

 

Pentesten: wat is het?

Penetratietesten, ook wel pentesten genoemd, is het proces waarbij een applicatie of netwerk wordt aangevallen om de beveiligingsstatus te evalueren (bron: Forbes). Het doel is om kwetsbaarheden, beveiligingsbugs die kunnen worden aangevallen, te identificeren en te verhelpen voordat kwaadwillende actoren ze misbruiken. Waarom is dit belangrijk voor jouw organisatie? Een simpele reden: pentesten is hetgeen wat onvolwassen organisaties onderscheidt van de volwassenen. Met deze onderscheiding breek ik eigenlijk meteen al een van mijn belangrijkste doelen voor deze serie: geen beschamende taal gebruiken. Maar, het gevecht tussen hackers en security professionals is een ongelijke strijd; er moet constant geanticipeerd worden op het veranderende IT- en business landschap. Door actief bezig te zijn met aanvallen van je eigen bedrijf, blijf je deze kwade actoren voor.

Ethisch hacken: het brave jongetje in een klas van inbrekers

Iedere organisatie zou hun eigen IT dus actief aan moeten vallen, maar hoe doe je dat? Gelukkig bestaan er naast kwaadwillende hackers ook ethical hackers (ook wel white hat hackers genoemd). Ethisch hacken is legaal inbreken in computers en apparaten om de verdediging van een organisatie te testen (bron: CSO). Je huurt een ethisch hacker dus in om onder strikte voorwaarden de beveiliging van jouw systemen te testen en je te vertellen wat je moet oplossen om minder kwetsbaar te zijn. Een prettiger en goedkoper alternatief voor afwachten tot een kwaadwillende hacker een keer inbreekt.

 

Waarom een hack onvermijdbaar is

“Yeah, right. Alsof mijn organisatie dat gaat overkomen.”, hoor ik je zeggen. Het is niet iets wat we graag toegeven, maar het je hebt wel een punt. Er bestaat immers nog altijd een afweging met inachtneming van het reële aanvalsrisico. Het vervelende is alleen dat je er vroeger vanuit kon gaan dat kleine tot middelgrote organisaties redelijk weinig risico liepen op een hack, maar dat is tegenwoordig echt het geval niet meer. Richting de toekomst zal dit ook alleen maar toe blijven nemen. De groep actieve hackers is gigantisch geworden en het maakt ze ook niet meer uit wie het slachtoffer is. Bij iedereen valt tegenwoordig kostbare informatie te halen die gemakkelijk via allerlei wegen verhandeld kan worden. Het levert je dus gewoon heel veel op om een goede cybersecuritystrategie te hebben. Daarmee verlaag je het risico dat hackers in jouw IT binnendringen en heb je een ‘fighting chance’ als ze het tóch voor elkaar krijgen.

 

Ik hoop dat ik het nut van pentesten en ethical hacking duidelijk heb kunnen maken. Niemand is erbij gebaat als je slachtoffer wordt van een cyberaanval, behalve de criminelen. Helaas nemen dit soort aanvallen jaar op jaar toch weer toe. Tussen 2020 en 2021 was er een wereldwijde stijging van 31 procent.

Be safe,

De cybersecurityspecialisten van SALT

Het nut van een goede cybersecuritystrategie

Het is iets wat ons allemaal overviel, de inmiddels ruim bekende kwetsbaarheid in Log4j: Log4Shell. Als lezer zul je het waarschijnlijk ook al wel weer een beetje gehad hebben met alle nieuwssites die hierover rapporteren. Desondanks voel ik me verplicht om hier toch nog een artikel aan te wijden.

Het nut van een goede cybersecuritystrategie

Het is iets wat ons allemaal overviel, de inmiddels ruim bekende kwetsbaarheid in Log4j: Log4Shell. Als lezer zul je het waarschijnlijk ook al wel weer een beetje gehad hebben met alle nieuwssites die hierover rapporteren. Desondanks voel ik me verplicht om hier toch nog een artikel aan te wijden.

De voordelen van pentesten en het gemak van outsourcing

Een paar dagen geleden kwam ik het artikel “Vaker outsourcing van detectie & respons dankzij wildgroei aan cybersecurity-tools” van Trend Micro (via AG Connect) tegen. Het cybersecurity bedrijf schrijft dat Security Operations Centers (SOC’s) naar onderzoek wereldwijd elk gemiddeld 29 verschillende securitymonitoringoplossingen gebruiken. Hun conclusie is logischerwijs dat dit grote aantal tools, het werk van de SOC-teams enorm lastig maakt. Deze systemen genereren allemaal bakken vol alerts, die geprioriteerd en opgelost moeten worden.

De voordelen van pentesten en het gemak van outsourcing

Een paar dagen geleden kwam ik het artikel “Vaker outsourcing van detectie & respons dankzij wildgroei aan cybersecurity-tools” van Trend Micro (via AG Connect) tegen. Het cybersecurity bedrijf schrijft dat Security Operations Centers (SOC’s) naar onderzoek wereldwijd elk gemiddeld 29 verschillende securitymonitoringoplossingen gebruiken. Hun conclusie is logischerwijs dat dit grote aantal tools, het werk van de SOC-teams enorm lastig maakt. Deze systemen genereren allemaal bakken vol alerts, die geprioriteerd en opgelost moeten worden.

Cyberaanvallen: het risico en de reactie

Het is zo langzamerhand een eigen nieuwscategorie aan het worden: cyberaanvallen. Je hoeft je niet lang af te vragen wie het volgende slachtoffer zal zijn of de artikelen stromen alweer binnen. De ene keer is het een autofabrikant en de andere keer een hogeschool. Het lijkt criminelen niet uit te maken wie hun doelwitten zijn, als er maar geld te halen valt.

Cyberaanvallen: het risico en de reactie

Het is zo langzamerhand een eigen nieuwscategorie aan het worden: cyberaanvallen. Je hoeft je niet lang af te vragen wie het volgende slachtoffer zal zijn of de artikelen stromen alweer binnen. De ene keer is het een autofabrikant en de andere keer een hogeschool. Het lijkt criminelen niet uit te maken wie hun doelwitten zijn, als er maar geld te halen valt.

Andere artikelen in de Executives Guide serie:

Thomas van den Nieuwenhoff

Thomas van den Nieuwenhoff

Security Blogger voor SALT Cyber Security en student HBO-ICT Infrastructure Design & Security op Windesheim.