Zijn penetratietests of pentests enkel iets voor grote en gespecialiseerde ondernemingen? Zeker en vast niet. Een dergelijke test, uitgevoerd door een zogenaamd red team, is breed toegankelijk en kan iedereen voordeel opleveren.
Pentests, kort voor penetratietests, voelen de kwaliteit van de beveiliging van je onderneming aan de tand. Zo’n tests komen in vele kleuren en smaken, maar de essentie is telkens dezelfde: beveiligingsspecialisten zullen proberen de beveiliging van je onderneming te omzeilen.
Relevant voor iedereen
Iedereen kan baat hebben bij zo’n test, ongeacht het niveau van beveiliging. Om het meeste uit een pentest te halen, moet je echter vooraf je huiswerk maken. Denk eens na over de maturiteit van je organisatie. Welke data zijn essentieel? En welke diensten moeten koste wat het kost online blijven? Gewapend met die informatie kan je een afgebakende pentest aanvragen bij een gespecialiseerde partij.
Ethische hackers zullen dan proberen om te doen wat jij wil voorkomen. Maak je alvast geen illusies: binnenraken op je interne netwerk, zal meestal wel lukken. Maar kunnen ze dan ook echt aan de data? Of kunnen ze je dienstverlening impacteren? Via een pentest leer je wat de zwakke schakels in je beveiliging zijn.
Red vs. blue
De tests zelf staan niet op zich en zijn geen aanval op de capaciteiten van je eigen IT-team. Pentesters zijn onafhankelijke specialisten met unieke expertise. Hun bevindingen zijn het perfecte uitgangspunt voor een organisatie die de beveiliging wil opkrikken.
Pentests zijn altijd interessant, zelfs wanneer je al (externe) beveiligingsspecialisten onder de arm nam. Specialisten die je organisatie verdedigen maken deel uit van een zogenaamd blue team. Zij zorgen voor de beveiliging en volgen je digitale omgeving op. Het is aan hen om alarm te slaan wanneer er iets niet juist is. Een blue team kan je als grote organisatie zelf in huis hebben, maar je kan de bescherming ook uitbesteden.
Hoe weet je nu of het blue team z’n werk doet? Daarvoor is het de beurt aan het red team. Dat is in de beveiligingsindustrie de term voor de ethische hackers die niet alleen je perimeterbeveiliging willen verschalken, maar ook het blue team te snel af willen zijn. Een ‘aanval’ door een red team is de perfecte oefening voor het blue team.
Zijn je werknemers alert?
Ook je bredere organisatie heeft baat bij zo’n pentests. Aanvallers zullen immers via de populairste vectoren proberen binnen te raken, net als echte hackers. Eén daarvan is phishing. De pentest geeft je zo meteen een idee van de cyber awareness van je werknemers. Trappen zij in de eerste de beste phishingmail? Of zit het wel snor met hun cyberhygiëne.
Hoe het ook zij, de pentest is altijd een relevant hulpmiddel. Meten is weten, en zonder de occasionele aanval van een red team meet je nooit in een gecontroleerde omgeving hoe goed je beveiligingsmaatregelen presteren.
Hou wel rekening met volgende belangrijke tips:
- Krijg eerst grip op de basics. Rol firewall en EDR uit, en vergewis je ervan dat je organisatie ook in staat is om aanvallen te detecteren en erop te antwoorden.
- Definieer wat belangrijk is. Je kan je organisatie breed laten testen op alle soorten aanvallen, maar tijd en geld zijn beperkt. Het is efficiënter om een red team een gerichte opdracht te geven zoals: ‘probeer aan klantendata te geraken’.
- De resultaten van de test zijn slechts een begin. Een pentest is een benchmark van waaruit je de beveiliging van de organisatie kan verbeteren. Wat liep er mis? En wat heb je nodig om het specifieke probleem op te vangen?
Zie een pentest dus niet als een exotisch gegeven. Blue teams hebben red teams nodig. Samen zorgen ze voor een optimale beveiliging van je organisatie.
Deze redactionele bijdrage is een onderdeel van ons dossier beveiliging naar aanleiding van de securitymaand oktober 2022. Ze wordt mede mogelijk gemaakt dankzij onze partners waaronder Telenet.