Als u slachtoffer wordt van ransomware. Hebt u dan een data recovery-oplossing?

Penetration Testing

De 5W penetratietest methodiek© om beveiligingsrisico’s te mitigeren

Een penetratietest ofwel pentest is een geautoriseerde poging om een beveiligingssysteem te omzeilen of te doorbreken, om zo inzicht te krijgen in de beveiliging van een IT omgeving en om verbeterpunten te definiëren. In de praktijk betekent het dat een team beveiligingsspecialisten (ook wel ethical hackers genoemd) met toestemming van de systeemeigenaar probeert om informatie in de beveiligde IT omgeving te benaderen zonder de vereiste toegangsgegevens.

 

Het doel van de 5W pentest is om:

  • Inzicht te krijgen in de risico’s en kwetsbaarheden van de IT omgeving.
  • De beveiliging te verbeteren door de risico’s en kwetsbaarheden te bestrijden.

 

In veel gevallen kan een pentest problemen blootleggen die inherent blijken te zijn aan een bepaalde ontwerpbeslissing en/of gedrag van mensen, waardoor het oplossen van het probleem arbeidsintensief is. Laat staan de gevolgen die een datalek kan hebben. Het is dan ook erg belangrijk om ook beveiligingsexpertise bij de ontwerpfase van een systeem te betrekken.

De 5W Penetratietest Methodiek©

5W heeft een methodiek ontwikkelt waarmee het mogelijk is om beveiligingsrisico’s efficiënt te mitigeren aan de hand van onderstaand stappenplan:

Fase Werkzaamheden
1 Intake & Voorbereiding Afstemmen, scope, deliverables, communicatie, planning, toegang tot systemen en gegevens, risicoprofiel en vrijwaringsverklaring.
2 5W Security Risk Scan Geautomatiseerd zoeken naar kwetsbaarheden die gebruikt kunnen worden ter voorbereiding van de aanval.
3 Hackerstest Het daadwerkelijk uitvoeren van de aanval door de ethical hacker.
4 Rapportage Overzicht van de kwetsbaarheden al dan niet met een score ten opzichte van andere bedrijven, risicoclassificatie, advies voor het verhelpen van de kwetsbaarheden, management samenvatting met aanbevelingen.
5 Presentatie & Advies Managementpresentatie met de bevindingen en het advies voor de opvolging.

 

Penetration Testing – Wat doe je dan eigenlijk?

Bij penetratietests hoort nogal wat jargon. Vooral de boxen zullen bij een gesprek over pentesting snel op tafel komen: men spreekt van black box tests, grey box, white box en soms zelfs van crystal box en time/budget box tests. Het verschil zit onder meer in de hoeveelheid kennis en achtergrondinformatie die de tester krijgt.

 

Black Box, White Box, Grey Box…

Als een tester minimale voorkennis heeft, is er sprake van black box; krijgt een tester van tevoren inzicht in alle aspecten van de systeemarchitectuur, dan heet die white box. Beschikt een tester over gedeeltelijke informatie, dan heet dit grey box. Dat kan een inlogaccount zijn om te testen of het voor gebruikers met een werkend wachtwoord mogelijk is om misbruik te maken. Denk ook aan een test van een internetbank: het is zinvol om, als de testers niet voorbij het inlogscherm komen, ook te proberen om met geldige inloggegevens geld over te maken van een rekening van iemand anders. In een pure black box komt de aanvaller wellicht niet langs het inlogscherm en heeft dan niet de gelegenheid of de tijd om ook dit soort aspecten nog te testen.

 

Crystal Box, Time & Budget Box…

Met crystal box wordt meestal bedoeld dat de testers ook de broncode van de applicatie hebben en toegang hebben tot alle mogelijke configuratie-informatie. Met time box of budget box wordt eigenlijk iets heel anders bedoeld, namelijk een test waarbij de doorlooptijd of de kosten bepalen wanneer de test ophoudt. Bijvoorbeeld: hoe ver kan een team ervaren pentesters in drie dagen komen? Dat kan soms een zinvolle vraag zijn om te stellen. In de fysieke beveiligingswereld weet men immers al veel langer dat 100% veiligheid niet bestaat en verkoopt men kluizen met een tijdsaanduiding: “een aanvaller met de juiste kennis en gereedschap heeft minstens x uur nodig om deze kluis open te krijgen”.

Naast de hoeveelheid informatie die de aanvallers ter beschikking hebben, moet er ook een keuze worden gemaakt over de informatie die het eigen personeel krijgt: worden ze op de hoogte gebracht dat een penetratietest uitgevoerd gaat worden of blijven ze in het ongewisse? Bij dat laatste geeft de penetratietest ook inzicht in de manier waarop incidentdetectie en afhandeling wordt uitgevoerd. Het is dan wel van belang dat wordt ingegrepen voordat het personeel vervolgacties (zoals aangifte) gaat ondernemen.

 

Toepassen van Social Engineering

Voor het verkrijgen van informatie kunnen de testers publiekelijk beschikbare bronnen raadplegen (zoals Internetpagina’s), maar het is ook mogelijk om ‘social engineering’ toe te passen. Hierbij wordt geprobeerd om informatie te krijgen van medewerkers, door bijvoorbeeld de helpdesk te bellen, door een medewerker om zijn wachtwoord te vragen of door de portier om te praten om het gebouw binnen te komen. Afhankelijk van de doelstelling van de penetratietest kan social engineering binnen het aanbod van 5W vallen.

 

Pentest rapportage – inzicht en verbeterpunten

De resultaten van de pentest worden vastgelegd aan de hand van de 5W rapportage en bevat onderstaande punten:

  • De gebruikte applicaties (inclusief versienummer)
  • De parameters die zijn gebruikt bij de tests
  • Het tijdstip waarop de test is uitgevoerd
  • Het IP-adres waarvandaan de test is uitgevoerd
  • Een toelichting per gevonden verbeterpunt
  • Een inschatting van de prioriteit per verbeterpunt

Informatiebeveiliging is een continu proces

Een pentest is een moment opname. Ook het rapport is daarmee een momentopname. Dagelijks worden er nieuwe kwetsbaardheden bekend van systemen en software. Tevens zijn systemen en omgevingen aan verandering onderhevig. Er worden er dus ook nieuwe oplossingen en methoden ontwikkeld voor het uitvoeren van nieuwe aanvallen.

Het advies van 5W is om de penetratie testen frequent te blijven uitvoeren in combinatie met de 5W Health Check. Deze check is met name gericht op de infrastructuur binnen de firewall. Uiteraard is het altijd goed om voorbereid te zijn wanneer het onverhoopt toch fout gaat. Dit hoeft niet altijd te maken te hebben met cyber criminaliteit maar kan ook te maken hebben met een menselijke fout, weersomstandigheden en mankementen. In dat geval is het goed om een Disaster Recovery Plan te hebben klaarliggen.

Bescherm uw kritische data en IT-systemen met de security, back-up en recovery diensten van 5W. Neem contact op via 030-636 1214 of via info@5wdatasolutions.nl.