Praktijk
Netwerken, data en applicaties kunnen op allerlei manieren beveiligd worden, maar uiteindelijk leert de praktijk wat echt werkt en niet werkt. Bij een penetratietest, kortweg pentest, worden kwetsbaarheden niet alleen opgespoord maar ook daadwerkelijk uitgebuit. Xavier Mertens, Principal Security Consultant: “De pentester gaat tewerk als een criminele hacker, maar doet dat met toestemming van de eigenaar en met het doel de omgeving nadien beter te beveiligen.”
De beveiligingsspecialisten van Telenet voeren regelmatig dergelijke pentests uit, bijvoorbeeld tijdens de acceptatiefase van een nieuw systeem, na een belangrijke wijziging aan een bepaalde omgeving of na een belangrijk veiligheidsincident. Ook worden dergelijke tests periodiek uitgevoerd in het kader van een veiligheidsbeleid, om na te gaan of systemen nog up-to-date zijn.
Wanneer een pentester vooraf informatie over de te testen omgeving krijgt, wordt gesproken van een white box pentest. Bij een black box pentest vertrekt de pentester vanuit de positie van een externe hacker en ontvangt hij vooraf geen informatie. Wil men nagaan hoe interne medewerkers reageren bij inbraak, dan worden ze uiteraard niet vooraf ingelicht. Wel moet altijd minstens één beheerder op de hoogte zijn. Die moet de pentest als dusdanig kunnen herkennen en van een echte malafide inbraak kunnen onderscheiden. Hij kan ook onnodige escalaties door personeel dat niet op de hoogte is voorkomen.
Xavier Mertens
Principal Security Consultant
De schaal van de pentest, het moment waarop de test gebeurt, en de rapportering van gevonden kwetsbaarheden zijn allemaal erg belangrijk. Een pentest kan zich richten op één aspect, zoals de security awareness in uw organisatie, maar ook veel ruimer gaan. De pentester zal in dat geval via social engineering toegang proberen te krijgen tot uw systemen. Bij elke pentest moet in elk geval vooraf goed vastgelegd worden wat wel en niet mag. Ook maakt men het best duidelijke afspraken omtrent de rapportering. Uiteindelijk moeten de bevindingen van de pentest uitmonden in actiepunten die de beveiliging optimaliseren.