Ethical hacking, licht je bedrijf door

Wil je weten of je netwerk en servers echt veilig zijn? Wie beter dan een hacker kan het je vertellen? Gespecialiseerde bedrijven bieden inmiddels gehackt worden aan als ultieme beveiligingstest van je bedrijfsinfrastructuur.

 

Grote investeringen in de it zijn geen garantie voor veiligheid. Ze leiden juist vaak tot meer complexiteit en maken het risico op een fout in het ontwerp of de configuratie juist groter. Maar ook wie zich bij het inrichten van zijn it volledig aan de richtlijnen en best practices houdt, kan later worden ingehaald door een eerder onbekende kwetsbaarheid. En een hacker heeft aan één ingang vaak voldoende. Een beveiligingsscan kan dergelijke fouten bloot te leggen en biedt je de kans ze te herstellen voor er misbruik van wordt gemaakt. 

In Nederland bieden meerdere bedrijven beveiligingsscans en hack-tests aan. Hierbij wordt van genomen beveiligingsmaatregelen getest of deze wel naar behoren werken. Veelal zijn er meerdere soorten tests, waarbij de kennis die de ‘hacker’ daarbij vooraf krijgt van de omgeving bepalend is voor het onderscheid.

Black box

“Bij een Black box penetration-test wordt er van uitgegaan dat de testers helemaal geen kennis hebben over de omgeving die getest gaat worden. Een Gray box penetration-test wordt uitgevoerd met alle kennis over de systemen, maar zonder inloggegevens. Een White box penetration-test tenslotte, is een test waarin de testers alle informatie tot hun beschikking krijgen”, aldus Vincent Ossewaarde van beveiligingsexpert FortyTwo.

Tests zoals deze zijn echter momentopnamen, terwijl it-omgevingen vaak steeds veranderen. Ook de de kennis van de zwakheden in oude en nieuwe software en besturingssystemen bij echte hackers verandert. Vaak is het daarom mogelijk de tests op een reguliere basis te laten uitvoeren in een abonnementsvorm.

Het Groningse ParadosLabs biedt behalve losse scans en tests ook een Security Monitor waarmee een bedrijf zijn it-infrastructuur regelmatig gecontroleerd kan hebben. “De Security Monitor voert automatisch iedere maand een aantal stappen van een test uit. De klant krijgt zo inzicht in veranderingen in zijn it en de daarbij behorende risico’s”, zegt Ties Voskamp van Parados Labs. “De automatisering maakt het makkelijker een continue beeld te hebben van de status van de beveiliging. Het drukt bovendien de kosten, doordat de tests minder tijd kosten. De resultaten worden wel altijd gecontroleerd voor we die met de klant delen”, aldus Voskamp. 

Gereedschap

Om de tests uit te voeren gebruiken de bedrijven naast enkele commerciële tools, vooral juist ook tools als Nessus, Metasploit en Nmap die gewoon gratis van het internet te downloaden zijn.

Volgens Ties Voskamp van ParadosLabs geven deze tools juist omdat ze vrij beschikbaar zijn een goed beeld van de sterkte of zwakte van een bedrijfsomgeving. Kunnen deze tools de omgeving al hacken, dan weet je dat het goed mis is. De duurdere software die zowel Voskamp als Ossewaarde ook gebruiken richten zich vooral op het vinden van fouten in programmeercode of zijn net als virusscanners gebaseerd op zeer regelmatig verschijnende updates over nieuwe exploits.

Voskamp: “Dergelijke programma’s zul je niet zo snel bij de echte hackers aantreffen, maar zijn juist daarom waardevol. Ze helpen de hoeveelheid tijd die nodig is om de test uit te voeren te verminderen.”

Een uitzondering is Qualys, dat ook beveiligingstests en met QualysGuard een eigen suite van testproducten aanbiedt. Bedrijven kunnen deze zowel als abonnement afnemen of door een partner van Qualys laten uitvoeren. Qualys en ParadosLabs bieden beide ook een appliance aan die in het netwerk geplaatst kan worden om van binnenuit de tests uit te voeren. Een dergelijke methode sluit aan bij de it-wijsheid dat de meeste bedreigingen niet via de firewall binnenkomen, maar met de mensen die toch al toegang hebben tot het netwerk.

Verbetering

De resultaten die bedrijven halen met securitytests zijn volgens Ossewaarde goed. “We doen begrijpelijk geen mededelingen over specifieke klanten, maar in meestal treffen we veel verouderde en niet gepatchte software aan.

Een recente trend is dat de security van aangesloten apparaten als printers en telefoons achterblijft. Ook zien we weinig focus op ipv6, terwijl daar al  hele reële bedreigingen liggen.” Essentieel voor het succes van een scan is de bereidheid van de organisatie om de fouten op te pakken. “It-ers zien de scan doorgaans niet als een bedreiging of oordeel over hun werk. Slimme it-afdelingen gebruiken onze rapportages juist vaak om de handen binnen de organisatie wel op elkaar te krijgen bijvoorbeeld om wel vaker te updaten”,  aldus Voskamp.