Penetratietest vs. kwetsbaarheidsscans:
wat is het verschil?

Terwijl cybercriminaliteit en aanvallen blijven toenemen, investeren bedrijven duizenden dollars in robuuste beveiligingsoplossingen zoals netwerk kwetsbaarheidsbeoordelingen en penetratietests om hun gegevens, inkomsten en reputatie te beschermen tegen externe bedreigingen. 

Zowel penetratietests als kwetsbaarheidsscans worden vaak ten onrechte beschouwd als één en hetzelfde. Ze worden echter allebei gebruikt voor volledig verschillende doeleinden en beheren verschillende niveaus van beveiliging en risicoanalyse. Kwetsbaarheidsscans worden vaker uitgevoerd dan penetratietests.

Human Digital
16 augustus 2021
Ruud van Falier

Wat zijn penetratietesten? 

Penetratietesten, ook wel bekend als pentesten, is het proces van het vinden van kwetsbaarheden in het netwerk en het voorkomen dat ze het systeem binnendringen. Met andere woorden, het doel van penetratietesten is om echte kwetsbaarheden in het systeem te vinden die fungeren als een toegangspoort voor indringers. Het houdt in dat real-time aanvallen worden gesimuleerd in de vorm van ethisch hacken in netwerken om de verdediging te testen en zwakke punten te onderzoeken.

Penetratietests worden uitgevoerd door het inzetten van handmatige of geautomatiseerde technologieën om servereindpunten en netwerkgateways te compromitteren. Zodra de kwetsbaarheden duidelijk zijn, exploiteren testers het gecompromitteerde systeem verder om vervolgens exploits uit te voeren op andere interne assets, waardoor ze een hoog beveiligingsniveau en toegang tot assets verkrijgen via bevoorrechte escalatie.

Pentesten is geen eenmalig wonder. Computers en netwerken zijn dynamisch en dus is de behoefte aan pentesten dat ook. Pentesten is afhankelijk van verschillende aspecten en moet op regelmatige basis worden uitgevoerd, minstens eenmaal per jaar. Het hangt af van de volgende factoren:

  • De omvang van je bedrijf
  • Het budget toegewezen voor pentesten
  • Compliance met IT-regels en -voorschriften
  • Infrastructuur

 

Hoe kun je een stevige pentest-planning opzetten? 

Een van de meest effectieve pentestplannen is het creëren van een inventaris waarin al je assets worden ondergebracht, zoals servers, applicaties, websites en extensies. Nadat je een inventaris heeft opgebouwd, moet je de assets categoriseren in laagwaardige en kritieke assets. Afhankelijk van het type asset is het noodzakelijk om een testplan op te stellen dat dagelijks of wekelijks wordt uitgevoerd. Dit zorgt er ook voor dat eventuele configuraties in de code die een zwakke plek introduceren, kunnen worden gedetecteerd voordat deze verkeerd worden behandeld.

Pentesten voor cross-site scripting

Je kunt testgevallen voor cross-site scripting gebruiken met vage technieken, waarbij de wijzigingen in de code worden aangegeven door vage waarschuwingen in geval van detectie van cross-scripting. Hiermee kun je testgevallen dagelijks uitvoeren. 

De belangrijkste reden voor het falen van pentesten is vaak dat er uitgebreid wordt gefocust op belangrijke systemen en niet wordt beseft dat de toegangsweg ook uitnodigend kan zijn in andere systemen.

Om het meeste uit je pentest-oefening te halen, is het raadzaam te testen met de veronderstelling dat de hacker informatie over jouw assets heeft, in plaats van te pentesten met als doel wat basisinformatie te verkrijgen. Hoe meer informatie de pentester verkrijgt, hoe beter de resultaten zullen zijn in een kort tijdsbestek.

Stappen van pentesten

Een typisch pentestplan kent de volgende fasen: 

  • Planning en verkenning: Testdoelen worden geformuleerd en inlichtingen worden verzameld.
  • Scannen: Scannen stelt de pentester in staat inzicht te krijgen in hoe een applicatie reageert op indringingen.
  • Toegang verkrijgen: Cross-site scripting-tests worden uitgevoerd om kwetsbaarheden aan het licht te brengen.
  • Langdurige toegang behouden: APT's (Advanced Persistent Threats) worden geïmiteerd om te zien of de kwetsbaarheid kan worden gebruikt om toegang voor langere tijd te behouden.
  • WAF-configuratie: Resultaten worden bekeken om de webapplication firewall (WAF) te configureren voordat de test opnieuw wordt uitgevoerd.

 

Wat zijn kwetsbaarheidsscans? 

Een kwetsbaarheidsscan is een hoog-niveau test die potentiële kwetsbaarheden in het systeem zoekt. In tegenstelling tot pentesten, dat zoekt naar slapende zwakheden om het systeem te exploiteren, zijn kwetsbaarheidsscans veel meer open en kijken ze naar kwetsbaarheden, waarbij ze slechts aan de oppervlakte van applicaties blijven. 

Kwetsbaarheidsscans volgen een meer passieve aanpak, zodat ze niet verder gaan dan het rapporteren van de kwetsbaarheid. Het is aan de beheerder om te controleren op valse positieven en de scans opnieuw uit te voeren.

Het wordt aanbevolen om ten minste eens per kwartaal kwetsbaarheidsscans uit te voeren. Kwartaal kwetsbaarheidsscans kunnen belangrijke zwakke punten in het netwerk van je bedrijf blootleggen en je helpen jouw beveiligingsstructuur beter te begrijpen en de bedreigingen die je tegenkomt. Omdat kwetsbaarheidsscans zeer betaalbaar zijn, afhankelijk van de scanleveranciers, vertrouwen organisaties op kwetsbaarheidsscanners om beveiligingsonzekerheden in de inventaris van activa te ontdekken.

Beperkingen van kwetsbaarheidsscans zijn onder andere:

  1. Valse positieven
  2. Organisaties moeten kwetsbaarheden handmatig controleren voordat ze opnieuw worden getest
  3. Bevestigt niet of een kwetsbaarheid te misbruiken is.

 

Hoe een degelijk kwetsbaarheidsscanplan op te zetten?

Net als bij penetratietesten vormt het kernpunt van kwetsbaarheidsscans het bestrijken van alle apparaten en toegangspunten die jouw ecosysteem raken. De tijd tussen een kwetsbaarheidsscan en de volgende scan vormt een risico, omdat veranderingen zich verspreiden in de code en tot nieuwe kwetsbaarheden kunnen leiden. Het is dus aan jou om te beslissen of het ecosysteem maandelijkse scans, wekelijkse scans of kwartaalscans nodig heeft. Het toewijzen van asset-owners aan kritieke assets kan helpen bij het sneller dichten van de kwetsbaarheden. Het toewijzen van bedrijfseigenaren aan assets kan ook enorm helpen bij het identificeren van de kwetsbaarheden afzonderlijk.

Het is essentieel om te focussen op high-priority assets die vatbaar zijn voor kwetsbaarheden. Dus zodra een kwetsbaarheid is ontdekt, is het beter om het patching-proces te starten met een robuust tijdbeheersplan. Dus de volgende keer dat je een kwetsbaarheidsscan uitvoert, krijg je mogelijk een ander beeld van de kwetsbaarheid als die er nog is.

Ook het documenteren van de voortgang van jouw scans kan je inzicht geven en kan verder helpen bij het versterken van het kwetsbaarheidsscanningsproces.

Stappen van kwetsbaarheidsscanning

  1. Initiële analyse en beoordeling - Stel een aantrekkelijke strategie op om een beter begrip te krijgen van de risicobereidheidsfactoren, het risicotolerantieniveau en het risicobeheerproces. Het hebben van een sterke doelstelling voor de kwetsbaarheidsscan kan zorgen voor vruchtbare resultaten.
  2. Definitie van systeembaseline - Verzamel een overvloed aan informatie over individuele assets voordat je hands-on gaat. Controleer of het apparaat open poorten en services heeft die niet geopend zouden moeten zijn. Verzamel kortom openbare informatie zoals leveranciersgegevens en versies die kunnen helpen bij een soepel kwetsbaarheidsscanningsproces.
  3. Uitvoeren van de kwetsbaarheidsscan - Zoek naar het juiste beleid in jouw scanner en analyseer nalevingsvereisten op basis van de zakelijke positie van je bedrijf vóór de kwetsbaarheidsevaluatie.
  4. Rapportage van de kwetsbaarheidsscan - Het identificeren van de kwetsbaarheden en deze documenteren is de volgende stap. Op basis van de kritieke waarde van het asset kunnen ook eigenaars worden toegewezen voor een beter georganiseerd proces.

 

Conclusie

Zowel penetratietest als kwetsbaarheidsscans zijn de meest handige veiligheidsmethodes voor de meeste organisaties. Scans op regelmatige basis laten doen, kan helpen om voorhand de workflow in je organisatie te verbeteren.

Wil je meer informatie? Vul dan onderstaand formulier in!

Cookies
Deze site gebruikt geanonimiseerde cookies. Klik op "Akkoord" als je akkoord gaat met het gebruik van cookies, of klik op "Aanpassen" om je voorkeuren te bepalen.
Deze site gebruikt geanonimiseerde cookies.
Akkoord Aanpassen Weigeren