Als security blogger voor SALT schrijf ik regelmatig over de beveiligingsmaatregelen die je “al jaren geleden had moeten implementeren”, om ongevallen te voorkomen waar je waarschijnlijk momenteel niet direct door bedreigd wordt. Het is iets wat iedereen in mijn branche doet: de boeman uithangen. We zijn als specialisten opgeleid in het herkennen van beveiligingsrisico’s en gebruiken onze ervaring en kennis om hier oplossingen voor te bedenken. Het enige wat we dan nog missen is de wijde implementatie van die oplossingen, om in onze ogen de wereld veiliger te maken. In deze aankomende serie artikelen wil ik eens een ander geluid laten horen. Niet een van angst en beschaming, maar van kansen en mogelijkheden. Ik wil je meenemen in mijn wereld door, maar dan door het kijkglas van een directielid.
De wereld van technologie is vele dingen: vernieuwend, innovatief, een oneindige cash cow, een redder, maar ook relatief jong, altijd veranderend, duur en gevaarlijk. Daarom willen wij als securityspecialisten orde scheppen in de chaos, om je te kunnen vertellen over het oplossen, of nog liever voorkomen van catastrofale beveiligingsincidenten. In dit eerste artikel wil ik het daarom hebben over pentesting en ethical hacking.
Penetratietesten, ook wel pentesten genoemd, is het proces waarbij een applicatie of netwerk wordt aangevallen om de beveiligingsstatus te evalueren (bron: Forbes). Het doel is om kwetsbaarheden, beveiligingsbugs die kunnen worden aangevallen, te identificeren en te verhelpen voordat kwaadwillende actoren ze misbruiken. Waarom is dit belangrijk voor jouw organisatie? Een simpele reden: pentesten is hetgeen wat onvolwassen organisaties onderscheidt van de volwassenen. Met deze onderscheiding breek ik eigenlijk meteen al een van mijn belangrijkste doelen voor deze serie: geen beschamende taal gebruiken. Maar, het gevecht tussen hackers en security professionals is een ongelijke strijd; er moet constant geanticipeerd worden op het veranderende IT- en business landschap. Door actief bezig te zijn met aanvallen van je eigen bedrijf, blijf je deze kwade actoren voor.
Iedere organisatie zou hun eigen IT dus actief aan moeten vallen, maar hoe doe je dat? Gelukkig bestaan er naast kwaadwillende hackers ook ethical hackers (ook wel white hat hackers genoemd). Ethisch hacken is legaal inbreken in computers en apparaten om de verdediging van een organisatie te testen (bron: CSO). Je huurt een ethisch hacker dus in om onder strikte voorwaarden de beveiliging van jouw systemen te testen en je te vertellen wat je moet oplossen om minder kwetsbaar te zijn. Een prettiger en goedkoper alternatief voor afwachten tot een kwaadwillende hacker een keer inbreekt.
“Yeah, right. Alsof mijn organisatie dat gaat overkomen.”, hoor ik je zeggen. Het is niet iets wat we graag toegeven, maar het je hebt wel een punt. Er bestaat immers nog altijd een afweging met inachtneming van het reële aanvalsrisico. Het vervelende is alleen dat je er vroeger vanuit kon gaan dat kleine tot middelgrote organisaties redelijk weinig risico liepen op een hack, maar dat is tegenwoordig echt het geval niet meer. Richting de toekomst zal dit ook alleen maar toe blijven nemen. De groep actieve hackers is gigantisch geworden en het maakt ze ook niet meer uit wie het slachtoffer is. Bij iedereen valt tegenwoordig kostbare informatie te halen die gemakkelijk via allerlei wegen verhandeld kan worden. Het levert je dus gewoon heel veel op om een goede cybersecuritystrategie te hebben. Daarmee verlaag je het risico dat hackers in jouw IT binnendringen en heb je een ‘fighting chance’ als ze het tóch voor elkaar krijgen.
Ik hoop dat ik het nut van pentesten en ethical hacking duidelijk heb kunnen maken. Niemand is erbij gebaat als je slachtoffer wordt van een cyberaanval, behalve de criminelen. Helaas nemen dit soort aanvallen jaar op jaar toch weer toe. Tussen 2020 en 2021 was er een wereldwijde stijging van 31 procent.
Be safe,
De cybersecurityspecialisten van SALT
Het is iets wat ons allemaal overviel, de inmiddels ruim bekende kwetsbaarheid in Log4j: Log4Shell. Als lezer zul je het waarschijnlijk ook al wel weer een beetje gehad hebben met alle nieuwssites die hierover rapporteren. Desondanks voel ik me verplicht om hier toch nog een artikel aan te wijden.
Het is iets wat ons allemaal overviel, de inmiddels ruim bekende kwetsbaarheid in Log4j: Log4Shell. Als lezer zul je het waarschijnlijk ook al wel weer een beetje gehad hebben met alle nieuwssites die hierover rapporteren. Desondanks voel ik me verplicht om hier toch nog een artikel aan te wijden.
Een paar dagen geleden kwam ik het artikel “Vaker outsourcing van detectie & respons dankzij wildgroei aan cybersecurity-tools” van Trend Micro (via AG Connect) tegen. Het cybersecurity bedrijf schrijft dat Security Operations Centers (SOC’s) naar onderzoek wereldwijd elk gemiddeld 29 verschillende securitymonitoringoplossingen gebruiken. Hun conclusie is logischerwijs dat dit grote aantal tools, het werk van de SOC-teams enorm lastig maakt. Deze systemen genereren allemaal bakken vol alerts, die geprioriteerd en opgelost moeten worden.
Een paar dagen geleden kwam ik het artikel “Vaker outsourcing van detectie & respons dankzij wildgroei aan cybersecurity-tools” van Trend Micro (via AG Connect) tegen. Het cybersecurity bedrijf schrijft dat Security Operations Centers (SOC’s) naar onderzoek wereldwijd elk gemiddeld 29 verschillende securitymonitoringoplossingen gebruiken. Hun conclusie is logischerwijs dat dit grote aantal tools, het werk van de SOC-teams enorm lastig maakt. Deze systemen genereren allemaal bakken vol alerts, die geprioriteerd en opgelost moeten worden.
Het is zo langzamerhand een eigen nieuwscategorie aan het worden: cyberaanvallen. Je hoeft je niet lang af te vragen wie het volgende slachtoffer zal zijn of de artikelen stromen alweer binnen. De ene keer is het een autofabrikant en de andere keer een hogeschool. Het lijkt criminelen niet uit te maken wie hun doelwitten zijn, als er maar geld te halen valt.
Het is zo langzamerhand een eigen nieuwscategorie aan het worden: cyberaanvallen. Je hoeft je niet lang af te vragen wie het volgende slachtoffer zal zijn of de artikelen stromen alweer binnen. De ene keer is het een autofabrikant en de andere keer een hogeschool. Het lijkt criminelen niet uit te maken wie hun doelwitten zijn, als er maar geld te halen valt.
Ontwikkelaars moeten nieuwe features blijven implementeren en securityspecialisten hebben het te druk om ze te coachen. Een groot probleem, maar gelukkig is er een goede oplossing voor.
Informatiebeveiliging is een complex onderwerp. Hoe voer je een gesprek over Dependency Scanning en wat is het?
Programmeurs bouwen functionaliteit, maar denken ze wel na over veilige code? Hier lees je hoe je hierover een gesprek voert.
