Penetratietesten meten de effectiviteit van uw verdedigingsmaatregelen op het gebied van cyberbeveiliging. En onthoud dat hun effectiviteit in de loop van de tijd verandert, dus herhaal indien nodig. Er is niets dat past en vergeet in de wereld van cyberbeveiliging.
The Vulnerability-Go-Round
Alle niet-triviale software heeft bugs. En er is overal software op je netwerk, dus de trieste waarheid is dat je netwerk vol bugs zit. Niet al die bugs leiden tot een kwetsbaarheid, maar sommige wel. En als slechts een van die kwetsbaarheden wordt uitgebuit door bedreigingsactoren, wordt uw netwerk gecompromitteerd.
Besturingssystemen, softwaretoepassingen en apparaatfirmware zijn allemaal vormen van software. Het is duidelijk dat servers en netwerkeindpunten besturingssystemen en applicaties zullen draaien. De items die vaak over het hoofd worden gezien, zijn andere netwerkapparatuur zoals firewalls, routers, draadloze toegangspunten en switches. Deze bevatten allemaal firmware, en vaak ook een ingebed besturingssysteem. Andere apparaten, zoals Internet-of-Things-apparaten en andere slimme apparaten hebben ook firmware, een ingebouwd besturingssysteem en een bepaalde applicatiecode.
Als er kwetsbaarheden worden ontdekt, brengen verantwoordelijke providers beveiligingspatches uit. Deze bevatten bugfixes voor de bekende bugs, die de bekende kwetsbaarheden afsluiten. Maar dat zal niet zonder veel geluk iets doen om eventuele onbekende kwetsbaarheden te verhelpen.
Stel dat een stukje software drie kwetsbaarheden heeft. Twee ervan worden ontdekt en er wordt een beveiligingspatch vrijgegeven om ze aan te pakken. De derde kwetsbaarheid, nog niet ontdekt, zit nog in de software. Vroeg of laat wordt die kwetsbaarheid ontdekt. Als het wordt ontdekt door cybercriminelen, kunnen ze die kwetsbaarheid misbruiken in alle systemen waarop die versie van de software wordt uitgevoerd totdat een patch wordt vrijgegeven door de fabrikant en de eindgebruikers die patch toepassen.
Advertentie
< p>Ironisch genoeg kunnen nieuwe kwetsbaarheden worden geïntroduceerd door patches, updates en upgrades. En niet alle kwetsbaarheden zijn te wijten aan bugs. Sommige zijn te wijten aan vreselijke ontwerpbeslissingen, zoals de IoT Wi-Fi-enabled CCTV-camera's die gebruikers niet toestonden om het beheerderswachtwoord te wijzigen. Het is dus onmogelijk om te zeggen dat uw systemen vrij zijn van kwetsbaarheden. Maar dat betekent niet dat je niet moet doen wat je kunt om ervoor te zorgen dat ze vrij zijn van bekende kwetsbaarheden.
Penetratietesten en kwetsbaarheidstesten
Een penetratietest is eigenlijk een groot aantal tests die zijn ontworpen om de beveiliging van uw extern gerichte IT-middelen te evalueren. Gespecialiseerde software wordt gebruikt om exploiteerbare kwetsbaarheden methodisch te identificeren. Het doet dit door talloze goedaardige aanvallen op je verdediging uit te voeren. Een testrun kan honderden verschillende geplande tests bevatten.
Kwetsbaarheidstesten zijn een soortgelijk type scan, maar worden uitgevoerd binnen uw netwerk. Het zoekt naar hetzelfde type kwetsbaarheden als penetratietesten en controleert of de versies van het besturingssysteem actueel zijn en nog steeds worden ondersteund door de fabrikant. Kwetsbaarheidstesten identificeren de kwetsbaarheden die een dreigingsactor of malware zou kunnen misbruiken als een van beide toegang zou krijgen tot uw netwerk.
De rapporten die door deze tests worden gegenereerd, kunnen op het eerste gezicht overweldigend zijn. Elke kwetsbaarheid wordt beschreven en het nummer van de veelvoorkomende kwetsbaarheden en blootstellingen wordt gegeven. Hiermee kan de kwetsbaarheid worden opgezocht in een van de online kwetsbaarheidsindexen. Zelfs bescheiden netwerken kunnen rapporten genereren die vele tientallen pagina's beslaan. Voor middelgrote netwerken kunnen de rapporten worden gemeten in honderden pagina's.
Gelukkig zijn de kwetsbaarheden gerangschikt op basis van hun ernst. Het is duidelijk dat u de hoogste prioriteit moet aanpakken, dat wil zeggen, de meest ernstige kwetsbaarheden eerst, en dan de op één na hoogste prioriteit, enzovoort. De kwetsbaarheden van de laagste kwaliteit zijn technisch kwetsbaar, maar hebben zo'n laag risico dat ze meer als een advies dan als een verplicht onderdeel worden beschouwd om te verhelpen.
Soms lost het corrigeren van één kwetsbaarheid hele reeksen problemen op. Een verlopen of zelfondertekend TLS/SSL-certificaat kan een lange lijst met kwetsbaarheden genereren. Maar als u dat ene probleem corrigeert, worden alle gerelateerde kwetsbaarheden in één klap verholpen.
GERELATEERD: Hoe beveiligen SSL-certificaten het web? p>
De voordelen van penetratietesten
Het belangrijkste voordeel dat een penetratietest biedt, is kennis. Het rapport stelt u in staat de bekende kwetsbaarheden in uw IT-middelen, netwerk en websites te begrijpen en te verhelpen. De lijst met prioriteiten vertelt u duidelijk welke kwetsbaarheden u onmiddellijk moet aanpakken, welke u als volgende moet aanpakken, enzovoort. Het zorgt ervoor dat uw inspanningen altijd gericht zijn op de ernstigste resterende kwetsbaarheden. Het zal zeker risico's identificeren waarvan u niet wist dat u ze had, maar het zal u ook, zij het door negatief bewijs, de gebieden laten zien die al goed beveiligd zijn.
Advertentie
Sommige software voor het testen van penetratie kan kwetsbaarheden identificeren als gevolg van verkeerde configuratieproblemen of slechte cyberbeveiligingshygiëne, zoals conflicterende firewallregels of standaardwachtwoorden. Dit zijn eenvoudige, snelle en goedkope oplossingen die uw cyberhouding onmiddellijk verbeteren.
Alles dat de effectiviteit van uw cyberbeveiliging verbetert, beschermt uw meest gevoelige gegevens en werkt in het voordeel van uw bedrijfscontinuïteit. En natuurlijk helpt het voorkomen van inbreuken en andere beveiligingsincidenten u ook om boetes voor gegevensbescherming of rechtszaken van betrokkenen te voorkomen.
Weten waar je zwakke punten waren en wat ze waren, kan je helpen bij het plannen en opstellen van een routekaart voor je verdedigingsstrategie. Hierdoor kunt u uw beveiligingsuitgaven budgetteren en prioriteren. Het stelt u ook in staat om gaten in uw beleidsprocedures of gebieden op te sporen waar ze niet worden nageleefd.
Als uw patchstrategie wordt gevolgd, moeten beveiligingspatches en bugfixes tijdig worden toegepast zodra ze door de fabrikant zijn vrijgegeven. Door die discipline te handhaven, blijven uw besturingssystemen, applicaties en firmware achter.
Als uw organisatie werkt volgens een norm zoals de Payment Card Industry Data Security Standard (PCI-DSS) of ISO/EUC 27001 , zal penetratietesten waarschijnlijk een verplichte stap zijn voor naleving. Aanbieders van cyberaansprakelijkheidsverzekeringen kunnen van u eisen dat u penetratie uitvoert voordat ze u een polis aanbieden, of ze bieden mogelijk een lagere premie als u regelmatig penetratietests uitvoert.
Zowel potentiële als bestaande klanten vragen in toenemende mate om de resultaten van een recent penetratietestrapport als onderdeel van hun due diligence. Een potentiële klant moet zich ervan overtuigen dat u beveiliging serieus neemt voordat ze u hun gegevens kunnen toevertrouwen. Bestaande klanten moeten zich er ook van vergewissen dat hun huidige providers de nodige cyberbeveiligingsmaatregelen nemen om te voorkomen dat ze het slachtoffer worden van een supply chain-aanval.
Het Isn& #8217;een eenmalig iets
U wilt niet dat de resultaten van uw eerste penetratietest buiten uw organisatie komen. Voer uw eerste testronde uit, voer de herstelwerkzaamheden uit en test vervolgens opnieuw. Die tweede reeks tests zou uw werkbasis moeten opleveren en een reeks resultaten die u bereid bent te delen met externe partijen.
Advertentie
De penetratie moet ten minste jaarlijks worden herhaald. Een cyclus van zes maanden is geschikt voor de meeste organisaties.