Hoe een rapport over de digitale footprint van een bedrijf eruit moet zien
Een rapport over de digitale voetafdruk van een onderneming, kan veel diverse dingen bevatten, variërend van servers, diensten, technologieën, gelekte referenties en meer. Hieronder beschrijven we verschillende elementen die je aan zo’n rapport kunt toevoegen.
Technisch overzicht
Je begint met een technische samenvatting van de belangrijkste feiten en bevindingen uit de activiteiten. Dat hoeft niet altijd veel te zijn, maar als er iets is, voeg het dan aan het rapport toe. Typische dingen die je zou kunnen ontdekken zijn bijvoorbeeld kwaadaardige domeinen die je hebt geïdentificeerd (phishing-domeinen, look-a-like domeinen en dergelijke), kwetsbaarheden die zijn geïdentificeerd ook al zijn er nog geen penetrationtests gedaan, mogelijk gelekte referenties, en andere informatie die tegen het bedrijf kan worden gebruikt indien een hacker zou aanvallen.
Je wilt zoveel mogelijk informatie over actiepunten opstellen. Wat kan het bedrijf doen om zich beter voor te bereiden op een penetrationtest? Het is ook een goed idee om wat statistieken op te nemen in deze sectie, waarin je een samenvatting geeft van alle mogelijke aanvalspunten die zijn geïdentificeerd.
Vervolgens stel je en overzicht op waarin je alle servers in kaart brengt. Daarin geef je een gedetailleerd overzicht van alle domeinen en IP-adressen van hostingdiensten voor de onderneming die er zijn. Het overzicht kun je opdelen in categorieën zoals : providers (bijvoorbeeld Amazon, Telenor, Rackspace) en alle bijbehorende IP-adressen, domeinen, opmerkingen van de tester en de geschatte omvang.
Servers
Bij elke provider zou je alle verschillende IP-adressen en domeinen kunnen vermelden, waar dat van toepassing is. De opmerkingen helpen de penetrationtester een inschatting te maken van de kwetsbaarheid voor een systeemaanval. Wat betreft de inschatting, kun je een kwalitatieve indeling maken, bijvoorbeeld door aan te geven of een asset als micro, klein, middelgroot, groot of extra groot wordt beschouwd. Dit kan dan als basis gebruikt worden voor het bepalen van vaste prijzen, indien een team en klant daar de voorkeur aan geven.
Hier kan een kleurcodering bij helpen. Bijvoorbeeld het markeren van activa in rood, geel, groen of wit voor hoe kritisch of hoe hoog de prioriteit van de activa moet worden ingeschaald. Dit kan je gebruiken als een werkdocument tussen jou en je klant om de juiste scope voor deze opdracht te bepalen.
E-mails en persoonlijke gegevens
In dit gedeelte wil ik graag enkele zaken benadrukken. In de eerste plaats wil ik de medewerkers van het bedrijf, hun e-mails en hun rol in het bedrijf op een rijtje zetten. Ik verdeel de rollen in drie verschillende gebieden, die elk hun eigen soort aanvalsgebied hebben, en die in het geval van een aanval anders moeten worden aangepakt:
– Management- en management-gerelateerde functies, bijvoorbeeld uitvoerende assistenten.
– IT, ontwikkelaars, beveiligingspersoneel en soortgelijk personeel.
– Receptionisten, klantondersteuning en andere ondersteunende rollen.
– Andere rollen die niet onder de bovenstaande functies vallen.
Vooral IT-specifieke rollen hebben een interessant aanvalsoppervlak voor hackers. Deze kunnen directer worden gericht door te zoeken naar blogposts, stack overflow-accounts, code repository’s en nog veel meer. Ik wil graag de verschillende rollen met kleurcodes benadrukken, waardoor de functies beter zichtbaar worden.
Je wilt ook eventuele gedeelde e-mailaccounts opsommen die zijn geïdentificeerd en die een risico kunnen vormen vanwege zwakke wachtwoorden of andere kwetsbaarheden. Typische accounts die je zou kunnen aantreffen zijn:
– inkomend@
– sales@
– post@
– security@
Je moet ook zo goed mogelijk aantonen welke accounts er zijn gelekt. Afhankelijk van hoe ver je daarin wilt gaan, kun je dit uitbreiden naar de privéaccounts van medewerkers, indien je e-mails daarvan ook hebt geïdentificeerd.
Mobiele toepassingen
Apps die door het bedrijf worden ontwikkeld en gebruikt, moeten ook vermeld worden als potentiële kwetsbaarheid van bedrijven. Veel applicaties hebben via API’s directe verbindingen met servers van een organisatie, of de applicaties kunnen risico’s met zich meebrengen indien referenties verloren gaan, zoals een oplossing voor het beheer van mobiele apparaten waarbij het mogelijk is om apparaten zonder toestemming te beheren.
Socialmedia-accounts
Sociale media moet ook worden beschouwd als een belangrijke kwetsbaarheid voor sommige aanvallers. Stel je maar voor wat voor schade een aanvaller kan aanrichten als hij op het socialmedia-account van een bedrijf aanmeldt en hij kan communiceren met enkele duizenden volgers. Het is belangrijk om socialmedia-accounts goed te beschermen, en vooral bij accounts waarbij er met een bedrijfsspecifieke login wordt ingelogd, en niet gekoppeld zijn aan individuele gebruikersaccounts.
Overige
In een rapport over de digitale voetafdruk kun je allerlei zaken opnemen. Zorg er wel voor dat wat je opneemt van hoge kwaliteit is en bruikbaar is voor de doelorganisatie. Je kunt gevoelige informatie ontdekken die kwetsbaar is, zoals budgetplannen, blauwdrukken of configuraties. Het ligt voor de hand dat je zulke dingen met de klant deelt.
Ten slotte
Door win/win-relaties tussen aanbieders en klanten te ontwikkelen, kunnen betere en efficiëntere testmethoden worden gehanteerd. Als het aanbestedingsbedrijf een rapport over de digitale voetafdruk kan opstellen voorafgaand aan een penetrationtest, is de kans veel groter dat de resultaten van wederzijds voordeel zullen zijn. Als een bedrijf ermee akkoord gaat om de digitale voetafdruk te beoordelen is dat alleen maar gunstig, omdat je je provider vooraf al kunt testen voordat er complexere en grondigere penetrationtests plaatsvinden.
Chris Dale (Twitter: @chrisadale) is gecertificeerd instructeur bij het SANS Institute en schrijver van Digital Footprint – The first step in most offensive services
