Denk je dat de cyberbeveiliging van je organisatie op peil is? Laat er dan eens een hacker met een witte pet op los. Zogenaamde pentests van securityspecialisten brengen vaak heel wat belangrijke problemen aan het licht, zodat je je beveiligingspostuur verder kan opkrikken.
Niet iedereen presteert even goed in penetratietests (pentests). Dat is niet erg: daar dienen ze ook voor. Wie met de hulp van ethische hackers beveiligingsfouten ontdekt voor een stoute hacker dat doet, kan de problemen tijdig oplossen. We vragen Thomas Hayen en Mickey De Baets van Easi’s Red Team van offensieve ethische hackers, en Robin Bruynseels van het Blue en Purple Team dat zich specialiseert in defensie, waar de grootste risico’s zitten.
Eerst denken, dan doen
Heel soms vraagt een organisatie een totaalproject. Wanneer zo’n totaalproject op de planning staat, gaan de drie experts aan het werk. Hayen en De Baets zetten in het Red Team de pet van white hat-hacker op: ze proberen binnen de breken in de infrastructuur van een organisatie net zoals een hacker dat zou doen.
De Baets: “In principe gaan we eerst op gesprek bij een organisatie. Veel bedrijven willen een pentest, maar hebben niet verder nagedacht over wat dat precies inhoudt. Zo’n test kan intern, extern of zelfs fysiek op kantoor. We kijken samen naar de dagelijkse activiteiten van een onderneming, waar ze zelf schrik voor hebben en waar de grootste risico’s zitten. Op basis daarvan werken we dan een pentest op maat uit.”
Intern vs. Extern
“Voor een externe pentest proberen we binnen te breken via de infrastructuur die toegankelijk is via het publieke internet”, zegt Hayen. Denk daarbij bijvoorbeeld aan webapplicaties. “In zo’n tests is het doorgaans het doel om zoveel mogelijk kwetsbaarheden uit de applicaties te halen. Als het doel is om gewoon ergens binnen te raken, hebben we een vrij hoog succespercentage. Toepassingen die publiek toegankelijk zijn, moeten sowieso goed zijn afgeschermd. Dat weten organisaties meestal vrij goed, waardoor het moeilijker is om bugs ook uit te buiten om verdere toegang tot het netwerk te krijgen.”
Als het doel is om gewoon ergens binnen te raken, hebben we een vrij hoog succespercentage.
Thomas Hayen, Red Team Easi
De interne pentests zijn een ander verhaal. “Daar boeken we het meeste succes”, weet Hayen. “Bedrijven zijn nalatiger binnen hun eigen perimeter en bouwen onvoldoende beveiliging in. De Baets ziet hetzelfde. “Teveel bedrijven denken nog dat een externe firewall volstaat. Als een account van een gebruiker wordt gekraakt en interne beveiliging niet serieus wordt genomen, kan een hacker de hele organisatie op een paar uur overnemen.”
Valse phishingcampagnes
Bijkomend kunnen organisaties nakijken hoe resistent hun werknemers zijn tegen phishing. Dat is immers te voornaamste vector waarlangs aanvallers accounts overnemen en zo voorgenoemde interne aanvallen opzetten. Bruynseels ontfermt zich over dat aspect. “Wanneer we phishing-tests uitvoeren, proberen we dat doorgaans zo goed mogelijk te doen. Phishing-mails zien er vandaag erg realistisch uit, dus zo’n emails bootsen we na in een test-campagne.” Werknemers krijgen dan een valse phishing-mail, waar wordt bijgehouden wie klikt en eventueel gegevens ingeeft. Met die data kunnen organisaties aan de slag om bijvoorbeeld bewustmakingstrainingen te organiseren.
Wat minder interessant is, zijn cliché-mails. Toch worden die soms aangevraagd door de klant. Bruynseels denkt onmiddellijk aan een situatie eerder dit jaar: “Heel soms willen bedrijven echt pijnlijke schrijffouten. Het was allemaal heel opvallend, wat we doorgaans afraden. Toch liet bijna twintig procent van de werknemers zich vangen. Dat betekent dus dat het zelfs voor een amateuristische phisher geen grote uitdaging is om accountgegevens te bemachtigen en een interne aanval op te zetten.”
Als iemand met slechte intenties hetzelfde had gedaan als wij, dan had het bedrijf vandaag niet meer bestaan.
Mickey De Baets, Red Team Easi
Wat dan met de interne en externe tests? De Baets: “We zijn extern echt binnengeraakt op het netwerk van voorgenoemde klant. Intern konden we dan het hele netwerk overnemen. Als iemand met slechte intenties hetzelfde had gedaan als wij, dan had het bedrijf vandaag niet meer bestaan.”
Geen audit maar een hulpmiddel
Niet ideaal dus, maar dat kan gebeuren. Uiteindelijk dienen pentests om fouten bloot te leggen. Het is niet daarom dat de drie ethische hackers ’s nachts af en toe wakker schieten. Integendeel: na de pentests volgt immers de consulting. Daarbij zitten Bruynseels, De Baets en Hayen samen met de IT-teams van de klant, leggen ze uit wat er schort en stellen ze oplossingen voor. “We zijn geen auditor. Het is onze ambitie om samen met het onderzochte bedrijf de beveiliging naar een nieuw niveau te trekken. Na de pentest begint het werk met de meeste waarde. We kijken naar oplossingen en testen soms opnieuw, zodat de organisatie beter gewapend is tegen echte aanvallen.”
Hayen en zijn collega’s halen erg veel voldoening uit dat aspect, omdat ze hun skills zo kunnen inzetten om mensen en ondernemingen echt concreet verder te helpen. “Toegegeven, soms voelen IT-teams zich op de vingers getikt”, zegt Hayen. “Zeker als de pentest een verplichting was voor één of ander certificaat. Ook consultancy-bedrijven die de security van een onderneming regelen, zien ons niet altijd even graag komen, ook al is het enkel ons doel om de zaken te verbeteren. Over het algemeen worden we gelukkig wel met open armen ontvangen.”
‘Minder erg dan verwacht’
Het team herinnert zich nog een bedrijf dat na de tests zo lek als een zeef bleek. Nadat ze de toch ietwat dramatische situatie uit de doeken deden, volgde een vrij opvallende reactie. De Baets: “Op het einde was hun conclusie dat ze globaal wel wat fouten hadden, maar eigenlijk erger hadden verwacht. De betrokkenen vonden de huidige situatie wel ok.” De Baets en de rest van het team geloofden hun oren niet. “Wat kunnen we daar nu op zeggen”, vraagt de specialist zich af.
Het ging nochtans niet om kleine fouten. Hayen geeft een voorbeeld. “Er bestaat zoiets als een domein-administrator in een Exchange-omgeving. Eigenlijk heb je die enkel nodig om de omgeving op te zetten. Ze hebben erg veel rechten en laten de administrator bijvoorbeeld toe om te kijken wat er op elk toestel gebeurt, ook dat van de CEO. Het is een goed idee om zo weinig mogelijk van dergelijke accounts te hebben, die heel goed te beveiligen en ze liefst zelfs te deactiveren.” Het lekke bedrijf had er 58.
“Zoiets kan ik me niet inbeelden moest ik zelf een bedrijf hebben”, zucht De Baets. Gelukkig is dat absoluut niet de norm. Doorgaans zoeken en vinden de hackers kwetsbaarheden die dan worden opgelost voor een malafide individu er zijn voordeel kan uithalen.
Geen kunstwerk
Penetratietests zijn vaak relevant, zolang je weet wat je ermee wil doen. Testen, de resultaten aanschouwen als een soort abstract kunstwerk en vervolgens verder gaan met je dag: daar heeft niemand wat aan. Weet wat je wil onderzoeken en ga aan de slag met de bevindingen. Een pentest is in dat opzicht vooral een uitgangspunt voor een consulting-ronde waarin de belangrijkste problemen worden weggewerkt. De Baets en Hayen gebruiken de tests zo liefst als kapstok om meer bewustzijn te creëren.
“We doen dit gewoon graag”, zegt De Baets. “Wanneer we ’s avonds verder ethisch hacken is dat geen overwerk.” “De grootste voldoening komt van samenzitten met mensen om dan uit te leggen wat er gebeurt is met welke technieken”, besluit Hayen. “Dan kunnen we samen naar oplossingen zoeken. Dat menselijke aspect is fantastisch.”