Er is soms wat verwarring bij organisaties over wat het verschil is tussen een penetratietest (ook wel pentest genoemd) en een vulnerability scan. Kort gezegd is het doel van een vulnerability scan om in kaart te brengen hoe de security bij een organisatie is geregeld en aan te geven wat de eventuele kwetsbaarheden zijn.
Een pentest gaat een stap verder dan een vulnerability scan door de gevonden kwetsbaarheden ook daadwerkelijk te testen. Ook wordt er geprobeerd om het systeem of netwerk van de organisatie binnen te dringen. Zo wordt er gekeken of de in kaart gebrachte kwetsbaarheden ook kunnen leiden tot het aanrichten van schade of het vrijspelen van vertrouwelijke informatie. In dit artikel lichten we beide methoden toe. Waar baseer je jouw keuze op en waar moet je op letten?
Een vulnerability (kwetsbaarheid) scan
Een vulnerability scan brengt in kaart hoe het IT-landschap bij een organisatie is geregeld. Uit de scan komen kwetsbaarheden naar voren. Tijdens de scan worden mogelijke doelwitten zichtbaar gemaakt en welke computers, systemen en servers voor hackers interessant kunnen zijn. Kwetsbaarheden waar een hacker op kan inspelen om zich toegang te verschaffen tot een systeem of netwerk en vervolgens schade aan te richten komen met de scan aan het licht.
De resultaten van de scan laten zien welke systemen echt kritiek en welke minder. Ook geven de resultaten aan of het om beschikbaarheid of juist om integriteit en vertrouwelijkheid gaat. De organisatie heeft vervolgens zicht op welke reële risico’s op hen van toepassing zijn. De kwetsbaarheden zijn gelabeld op de mate van ernst en in het rapport staan aanbevelingen met eventuele oplossingen.
Software van een vulnerability scan
De uitkomsten van een vulnerability scan geven een breed en algemeen beeld van de zwakke plekken in de IT-infrastructuur van een organisatie. Vulnerability scans/ assessments worden regelmatig verward met een penetratietest. Toch gaat een pentest veel dieper en is deze minder algemeen van aard.
Een vulnerability scan maakt gebruik van zogeheten “off-the-shelf” software, Zoals Nessus of OpenVas om IP adressen, open poorten of een range van ip adressen te scannen.
Deze software zoekt naar kenmerken van reeds bestaande kwetsbaarheden, zoals verouderde software (ontbrekende patch) of bekende bugs (Heartbleed, CodeRed, Blaster). Deze kwetsbaarheden zijn reeds bekend bij de security community. Een vulnerability scan is een quick check van het gebruik van software zonder verdere stappen of diepgang. Het geeft alleen een melding bij gevonden kenmerken die overeenkomen. Er hoeft dus maar één onbekende kwetsbaarheid aanwezig te zijn om een beveiligingslek te creëren.
Kortom: een vulnerability scan is een fase (stap 1) van een penetratietest.
Penetratietest
Waar een vulnerability scan ophoudt, gaat een pentest verder. De output van de vulnerability test is meestal stap 1 van een penetratietest. Het doel van een penetratietest is om:
- Inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem.
- De beveiliging te verbeteren – met andere woorden, de risico’s en kwetsbaarheden te bestrijden.
Veel (professionele) pentesters voeren echter alleen een vulnerability scan uit en maken daarvan een rapport. Als organisatie wil je juist weten wat de gevolgen zijn en de next steps. Een goede penetratietester (ethische hacker) kijkt dan ook naar de output van de vulnerability scan en voert een zogeheten vulnerability assessment uit. Hierbij bekijkt de pentester de kwetsbaarheden op inhoudelijkheid en sluit de false positives (een uitslag die ten onrechte positief is) uit die bij nader onderzoek geen kwetsbaarheden blijken.
Veel (professionele) pentesters voeren echter alleen een vulnerability scan uit en maken daarvan een rapport. Als organisatie wil je juist weten wat de gevolgen zijn en de next steps.
Een goede pentester voert dus niet alleen een vulnerability scan uit, maar onderzoekt waar de kwetsbaarheid toe kan leiden. Welke informatie kan hij vinden en mogelijk uitbuiten? Deze bevindingen worden netjes gedocumenteerd in een adviesrapport waaruit blijkt hoe de kwetsbaarheden opgelost kunnen worden.
Een penetratietest of vulnerability scan?
De keuze hangt helemaal af van wat jouw doelstelling is. Om een algemeen beeld te krijgen hoe de IT-security er voor staat is een vulnerability scan voldoende. Als je een gedetailleerder overzicht wilt waarin alle potentiële zwakheden zijn opgenomen, dan heb je meer aan een pentest. Het meest ideale is een combinatie van beide waarin je meerdere malen per jaar een vulnerability test laat uitvoeren en daarnaast één keer per jaar een penetratietest. Daarmee identificeer je kwetsbaarheden en zwakke plekken op tijd en heb je deze aangepakt voordat een hacker zijn voordeel ermee doet.
Adviezen voor jou als opdrachtgever
- Bepaal wat je nodig hebt. Soms biedt een vulnerabilityscan al meer dan genoeg inzicht. Dit is sterk afhankelijk van ja doel, het risicoprofiel en de bestedingsruimte van jouw organisatie.
- Ga als opdrachtgever niet akkoord met een vulnerability scan als je voor een penetratietest betaalt.
- Sta erop dat een pentester daadwerkelijk een penetratiescan uitvoert.
- Mocht je te weinig weten van technische termen, laat dan een technicus bij het (oriënterende) gesprek met de pentester aanwezig zijn.
- Teken nooit een offerte wanneer je deze niet juridisch hebt laten controleren.
- Vraag altijd naar het stappenplan en de referenties van de pentester.
- Stel vast of de pentester gebruik maakt van internationaal geaccepteerde standaarden zoals:
- Open Web application Security Project (OWASP)
- SysAdmin, Audit, Network, Security (SANS)
- National Institute of Standards and Technology (NIST)
- Information Systems Security Assessment Framework (ISSAF)
- Open Source Security Testing Methodology Manual (OSSTMM)
- Betaal alleen wanneer je tevreden bent over het eindresultaat, het eindresultaat bestaat tenminste uit:
- de gebruikte applicaties (inclusief versienummer);
- de parameters die zijn gebruikt bij de tests;
- het tijdstip waarop de test is uitgevoerd;
- het IP-adres waarvandaan de test is uitgevoerd;
- een toelichting per gevonden verbeterpunt;
- een inschatting van de prioriteit per verbeterpunt.
Weet wat je nodig hebt en waar je precies voor betaalt, zodat je ook daadwerkelijk een penetratietest krijgt en de veiligheid voor jouw organisatie geoptimaliseerd wordt.