De Zen van penetrationtests

c't-partner
0

Organisaties veranderen voortdurend en het is moeilijker dan ooit om grip te houden op de actuele status van de talloze systemen die tegenwoordig in een IT-omgeving aanwezig zijn. Daarom willen veel organisaties penetrationtests uitvoeren om de onduidelijkheid weg te nemen.

Ze halen dan een extern team in huis om de situatie te beoordelen en advies uit te brengen over waar de focus van de beveiliging moet komen te liggen, zoals patching, segmentatie en kwetsbaarheden in het algemeen.

Helaas is een kant-en-klare penetrationtest niet eenvoudig te realiseren. Als klant weet je niet per se hoe een aanvaller precies te werk zou gaan. Je hebt misschien een idee waar hij zich op zou richten, maar niet altijd hoe het zit het met de schaduw-IT en andere middelen en diensten waar je je niet bewust van bent. Bovendien weet je wellicht niet hoe aanvallers te werk gaan, vandaar dat je niet de aangewezen persoon bent om aan te geven wat penetrationtesters moeten doen.

Een penetrationtesterteam loopt vaak tegen dezelfde uitdagingen aan. Zo wordt de scope van de opdracht door de klant bepaald. Bij de meeste bedrijven is het niet haalbaar om alles op te nemen in de scope. De vraag is dan hoe je bepaalt wat je wel en niet wilt meenemen in de scope en hoeveel dit kost. De klant wil zich vaak richten op een aantal geselecteerde applicaties, in plaats van real-world-scenario’s.

De oplossing voor deze problemen is gebaseerd op een oude methodologie, die niet complex is en elegant in zijn eenvoud.

penetration test fase

De methodologie van penetrationtests bestaat uit de volgende fasen: reconnaissance, discovery & scanning en exploitation & verification.

Voor een gemotiveerde aanvaller is de meest waardevolle fase van een penetrationtest de verkenningsfase en de ontdekking en scanningsfase. Deze wordt ook het meest over het hoofd gezien en genegeerd, vanwege het bepalen van de scope zoals hierboven vermeld. Aanvallers gaan op zoek naar onbeheerde systemen waar klanten zich niet bewust van zijn of die niet goed beheerd worden. Penetrationtesters moeten daarom voor een penetrationtest het best mogelijke overzicht geven van de doelonderneming.

Door een penetrationtest op te splitsen in twee delen, één waarbij de digitale voetafdruk in kaart wordt gebracht, en een tweede waarbij de eigenlijke penetrationtest wordt uitgevoerd, worden beide delen geoptimaliseerd. Een rapport over de digitale footprint, dat wil zeggen een rapport met de resultaten van de verkennings-, ontdekkings- en scanprocessen voorafgaand aan het starten van een penetrationtestopdracht, is ongelooflijke waardevol. Bekijk goed hoe zo’n rapport over de digitale footprint eruit moet zien.

Het voordeel van het opsplitsen is dat het de klant in staat stelt om te bepalen welke middelen hij als in-scope beschouwt en hij een bewuste keuze kan maken van wat hij niet wil opnemen.

Vaak worden kwetsbaarheden al geïdentificeerd door alleen maar OSINT (Open Source Intelligence Gathering) uit te voeren. Door simpelweg te zoeken naar de activa van de doelorganisatie, kan al eventuele gelekte gevoelige informatie worden gevonden die door zoekmachines en systemen wordt geïndexeerd. Door de digitale voetafdruk van een klant te identificeren, krijgt de klant bijna altijd al bruikbare actiepunten voorafgaand aan een penetrationtest.

Door de opdracht op te splitsen, zien klanten direct resultaat en kunnen ze de gevonden problemen meteen al aanpakken. De klant zal dan eerder bereid zijn te investeren. Bovendien kunnen de penetrationtesters zich dan richten op geavanceerdere en moeilijker vindbare exploits.

Voor organisaties die de hele scope willen laten testen, is het nu makkelijker om aan te tonen dat er ook daadwerkelijk zaken getest zijn. Aangezien de digitale footprint vooraf wordt overhandigd, is het ook makkelijker om het over de kosten eens te worden, aangezien alles reeds in beeld is gebracht.

Tot slot is het van grote waarde om de kwetsbaarheden van een organisatie door een derde partij in beeld te laten brengen. Het is ook handiger voor de penetrationtesters als ze hun werk doen. Daardoor blijft een onverwachte uitbreiding van de scope van het onderzoek uit, is er een beter begrip van de omvang van het werk, en door de mogelijkheid van vaste prijsafspraken realiseer je daarmee een allround, win-winsituatie voor alle betrokken partijen.

 

Chris Dale (Twitter: @chrisadale) is gecertificeerd instructeur bij het SANS Institute en schrijver van Digital Footprint – The first step in most offensive services

 

Deel dit artikel

Lees ook

Innovatie in vele vormen: ASUS, ‘In search of Incredible’

ASUS is een fabrikant die vaak nieuwe dingen probeert, geheel volgens de slogan 'In search of Incredible'. Bekijk dit overzicht maar eens.

HPE ProLiant ML30 en DL20 Gen11: nieuwe, krachtige MKB- en Edge-servers

Of je nu een tower- of rackserver nodig hebt, de HPE ProLiant ML30 en DL20 Gen11-servers met de nieuwe Intel Xeon-cpu's zijn veelzijdige, betaalbare i...

0 Praat mee