Organisaties in Nederland melden de eerste helft van 2018 8.898 datalekken bij de Autoriteit Persoonsgegevens. Met een gemiddelde schade van € 3,4 miljoen per datalek, volgens het Ponemon Instituut en IBM zou dat uitkomen op ruim € 60 miljard aan schade. Het is daarbij wel de vraag of alle datalekken die gemeld zijn, de gemiddelde schade behalen, maar dat het om enorme bedragen gaat, is wel duidelijk. En omdat de hoeveelheid lekken en de bijbehorende schade alleen maar lijkt op te lopen, onderzoeken veel organisaties wat ze kunnen om zichzelf te beschermen.
Wat is de beste keuze?
We kijken in deze blog naar de verschillen tussen het gebruik van Vulnerability Scanner, Penetratietesten, bug-bounty hackers en Managed Scan Service om potentiële infiltratiegebieden uit te roeien.
Vulnerability Scanner
Zoals de naam suggereert, scant de scanner het netwerk en gaat het op zoek naar kwetsbaarheden. Vervolgens scoren ze alle kwetsbaarheden die ze vinden, zodat ze een prioriteit kunnen krijgen. Scoren kan op maat geschreven zijn voor die scanner of van een Common Vulnerability Scoring System.
Een Vulnerability Scanner is een volledig geautomatiseerd proces dat erop gericht is om zoveel mogelijk kwetsbaarheden te identificeren. Aangezien dit het doel is, spreekt het voor zich dat een 'whitebox'-benadering moet worden gevolgd met contextuele informatie en referenties die zoveel mogelijk aan de scanner worden gegeven om ervoor te zorgen dat zoveel mogelijk issues kunnen worden ontdekt.
Vulnerability Scanners zijn over het algemeen eenvoudig te beheren en gemakkelijk te begrijpen. Ze hebben echter beperkingen. Niet het minst vanwege het feit dat ze geen ingebouwde intelligentie hebben, en ze dus lineair van A naar B werken volgens een vast patroon. Net zoals wanneer je een formulier invult voor een autoverzekering, als je niet elk veld correct invult, kun je niet doorgaan naar de volgende pagina. Evenzo kunnen dergelijke scans vastlopen, onvolledig worden en missen ze onverwachte schijnbewegingen.
Penetratietests
In tegenstelling tot Vulnerability Scanners zijn penetratietests (ook wel pentesten genoemd) door mensen gestuurd en enorm doelgericht. Over het algemeen is het de bedoeling om de ontdekte kwetsbaarheden uit een eerste (technisch) onderzoek zo snel mogelijk op een rijtje te krijgen. De kwetsbaarheden mogen dan wel uit geautomatiseerde hulpmiddelen komen, het doel is niet simpelweg een volledige lijst van alle kwetsbaarheden op te stellen, maar om te ontdekken in hoeverre een aanvaller hiermee het netwerk kan infiltreren. De output komt hoogstwaarschijnlijk in de vorm van voorbeeldpaden die een aanvaller zou kunnen nemen om de systemen van een organisatie volledig te compromitteren.
Penetratietests moeten worden uitgevoerd bij een geïnformeerd securityteam en zodanig worden opgezet dat systemen efficiënt kunnen worden aangevallen, zoals het opzetten van een testplatform met specifiek blok IP-adressen. Dit kan in tegenspraak zijn met diegene die vinden dat het verdedigende team niet geïnformeerd zou moeten worden; tests moeten er echter op gericht zijn om de veiligheid van een enkel aspect van het doelsysteem op een bepaald moment nauwkeurig te bepalen.
Een penetratietest is een diepere duik in de systemen dan een eenvoudige Vulnerability Scan en gebruikt veel meer intelligentie. Deze handmatige toepassing van intelligentie heeft echter een prijs en de kosten kunnen uit de hand lopen. Vooral in sterk gereguleerde sectoren zoals de financiële dienstverlening, waar alles (zelfs de introductie van een lettertype) grondig moet worden getest voordat het 'live' gezet wordt. Daarom voeren de meeste bedrijven maar eenmaal per jaar een penetratietest uit die, terwijl hij een bruikbare output levert, al achterhaald kan zijn zodra hij is voltooid.
Bug bounty-jagers
Zoals je hebt kunnen lezen in onze blog “Booming business: White Hat-hacken!”, hebben veel hackers de afgelopen jaren de ‘donkere kant’ de rug toegekeerd om hun vaardigheden anders te gebruiken en een White Hat premiejager te worden. Aangemoedigd door een toename van bug bounty-programma's, kunnen bug bounty-jagers de grootste vriend van jouw IT-infrastructuur zijn.
De grootste uitdaging bij het omschakelen naar bug bounty-jagers om kwetsbaarheden in uw netwerk te ontdekken, is dat een organisatie sterke interne processen nodig heeft om deze te kunnen verwerken. Je opent tenslotte je systemen voor vaak anonieme personen en nodigt ze uit om aan te vallen. En, wanneer een bug bounty-jager daadwerkelijk een kwetsbaarheid vindt, kan het rapport dat geleverd wordt enorm in kwaliteit variëren. Je hebt dus intern iemand nodig om ze snel en grondig te interpreteren en met een actieplan te komen om snel de kloof te dichten. Bovendien moet je de beloning snel uitkeren, anders krijg je een slechte reputatie die zich snel verspreidt over de gemeenschap van de jagers - een waar je niet op het verkeerde lijstje terecht wilt komen.
Managed Scan Service
Als je regelmatig jouw systemen diepgaand wilt testen met op mensen gebaseerde intelligentie en niet zeker bent dat je bug bounty-jagers kunt of wilt vertrouwen, dan is een Managed Scan Service (MSS) wellicht de beste optie voor jou. Een MSS wordt uitgevoerd door een team van professionals op het gebied van informatiebeveiliging en is ontworpen om de online omgevingen continu te beoordelen op kwetsbaarheden en waarschuwingen te geven wanneer nieuwe worden gedetecteerd.
De expertise van een MSS-team zorgt er voor dat ze het scanproces volledig kunnen beheren en kwetsbaarheden 'on-the-fly' kunnen analyseren. Door zowel netwerk- als cloudplatformen continu te scannen op kwetsbaarheden, kan een MSS zorgen voor optimale beveiliging in alle technologische domeinen. Voor de beste resultaten is het van belang dat de scan niet alleen beperkt is tot scannen van de infrastructuur voor bekende kwetsbaarheden, maar ook in staat is om applicatiespecifieke kwetsbaarheden te vinden.
Conclusie
Regelmatig scannen naar mogelijke infiltratiegebieden is essentieel voor het handhaven van een sterke security in het steeds veranderende dreigingslandschap van vandaag. Hoewel scannen een geautomatiseerd proces kan zijn, zijn er twee belangrijke uitdagingen voor een succesvol scanprogramma: zorgen voor scankwaliteit en interpreteren van de resultaten.
Een managed scanning service (MSS) is een combinatie van Vulnerability Scanner en Penetratietesten, wat vaak de beste oplossing is voor Nederlandse bedrijven die hun systemen willen beschermen tegen de nieuwste golf van cyberaanvallen.
Belangrijkste leerpunten
- De gemiddelde kosten van een datalek zijn toegenomen tot € 3,4 miljoen
- Een Vulnerability Scanner maakt gebruik van een geautomatiseerd proces dat erop gericht is om zoveel mogelijk kwetsbaarheden te identificeren
- Penetratietests zijn door de mens geleid en doelgericht, waarbij kwetsbaarheden uit een eerste technische scan worden uitgebuit
- Je hebt sterke interne processen nodig om met bug Bounty-jagers te werken
- Een Managed Scan Service (MSS) wordt uitgevoerd door een team van professionals op het gebied van databeveiliging en controleert de volledige IT voortdurend op kwetsbaarheden