Dossier: IT-security anno 2016
Waarom IT-security meer dan ooit het hart van uw bedrijf zou moeten zijn.
lees meer
Elke onderneming is een potentieel doelwit voor hackers. De beste manier om de kwetsbaarheden van uw beveiliging bloot te leggen, is er een ethische hacker op los te laten. Dieter Sarrazyn, Security Consultant en Managing Partner van Toreon geeft een inkijk in ethisch hacken.
Awareness is essentieel om bedrijven mee te krijgen in het IT-securityverhaal. Ethisch hacken is daar een ideale manier voor. Een ethische hacker zal een pentest (kort voor penetration test) uitvoeren om de infrastructuur op kwetsbaarheden te testen. Hij gebruikt dezelfde technieken en tools als malafide hackers, maar het doel is op de zwakheden van de beveiliging te wijzen en ze te verbeteren – niet om ze uit te buiten. Voor zo’n pentests ging Telenet een partnership met Toreon aan.
De reden waarom het partnerschip aangegaan werd, is de onafhankelijkheid van Toreon. “We zijn inderdaad niet gebonden aan producten, leveranciers of telecomproviders en kunnen dus zeggen waar het op staat”, start Dieter zijn verhaal. “Daarom is Telenet ook met ons in zee gegaan. Zo garanderen ze hun klanten dat ze een objectief verhaal te horen krijgen. Wij verbloemen niets: als het goed is, zeggen we het; is het niet goed, dan zeggen we het ook. Ook als het om een Telenet-oplossing gaat.”
Dieter Sarrazyn
Security Consultant en Managing Partner van Toreon
Dieter schetst kort de gestandaardiseerde aanpak van Toreon: “In een kick-offmeeting met de klant (en Telenet) achterhalen we wat de klant wil en bepalen we de scope van het project. Die scope kan heel specifiek zijn, zoals de beveiliging van een website, een webapplicatie of mobiele applicatie testen, of klanten- of personeelsgegevens te pakken krijgen.”
Maar het kan ook heel breed gaan, weet Dieter: “Denk aan een CEO die iets uit de actualiteit oppikt en zich afvraagt of de IT-beveiliging van zijn bedrijf wel voldoende is. Dan bepalen we samen hoe ver we gaan in de pentest – op dat moment start de bewustwording eigenlijk al. Wat we sowieso nooit doen, is DDoS-aanvallen en schadelijke of gevaarlijke acties.”
Afhankelijk van de scope kiest Toreon wie op het project gaat werken. Dieter: “Soms is dat één iemand, soms stellen we een heel team samen. Ons eigen team bestaat uit 20 gecertificeerde experts met minstens 15 jaar ervaring. Ze hebben zich in verschillende takken gespecialiseerd: het hacken van netwerken, van websites, van mobiele applicaties enz. Hebben we een bepaalde competentie niet in huis, dan kunnen we terugvallen op een uitgebreid netwerk van specialisten.”
Samen met de klant wordt het soort pentest gekozen, de zogenaamde Black Box, Grey Box en White Box. Dieter: “Bij een Black Box-test gaan we zonder voorafgaande kennis van de infrastructuur aan de slag, we krijgen bijvoorbeeld enkel een url. Dit is de plezantste manier – we moeten veel zoeken en graven – maar ook de meest tijdrovende. Bij een White Box-test slaan we die stap over en krijgen we alle informatie over de infrastructuur van de klant: netwerkinformatie, interne IP-adressen, gegevens van servers enz. Zo kunnen we dus direct heel gericht testen.”
De Grey Box-test is dan weer de tussenweg tussen de Black en White Box. Dieter: “Dan krijgen we beperkte info: niet alleen de url, maar ook credentials om in te loggen. De beste pentest blijft volgens mij nog altijd een combinatie, waarbij we beginnen met een Black Box-test en na een afgesproken periode op een Grey of White Box overgaan.”
Een pentest verloopt voor 20% via tools en 80% manueel. Dieter: “Tools maken uiteraard deel uit van ons ‘wapenarsenaal’, maar het grote verschil met geautomatiseerde vulnerability scans is dat wij daar niet stoppen. Iedereen kan een vulnerability scanner laten draaien, het is wat je doet met de resultaten die eruit komen. Wij gebruiken de tools enkel als beginpunt, op basis daarvan gaan we manueel verder.” Toch ziet Dieter een plaats voor vulnerability scans: “Een pentest is een ‘snapshot in time’. Wat nu beveiligd is, kan dat volgende week al niet meer zijn. Ideaal draai je regelmatige vulnerability scans, en ga je indien nodig over tot een pentest.”
Dieter Sarrazyn
Security Consultant en Managing Partner van Toreon
Na de pentest stelt Toreon een rapport met bevindingen en aanbevelingen op. Dieter: “Dat bespreken we dan met de klant en Telenet. We vinden het belangrijk dat zij hun feedback kunnen geven. Soms staan er al verbetertrajecten op de planning waar wij geen weet van hebben. Debriefingmomenten kunnen trouwens ook tijdens het project plaatsvinden. Als we flagrante fouten vinden bijvoorbeeld, maken we die direct kenbaar. Zo kan er meteen iets aan gedaan worden.”
Uiteraard gebeuren zowel de testen als de rapportering met de nodige confidentialiteit. “Dat dragen we hoog in het vaandel”, bevestigt Dieter. “In het teken van ons partnership met Telenet ondertekenden we een Non Disclosure Agreement (NDA) en al onze medewerkers hebben elk afzonderlijk een NDA met Toreon ondertekend. Daarnaast geloven we ook sterk in een Coordinated Vulnerability Disclosure. Als we nieuwe kwetsbaarheden vinden in soft- of hardware, gaan we die op een verantwoorde manier kenbaar maken aan de vendor en actief meewerken om het opgelost te krijgen. Ook Telenet heeft zo’n Responsible Disclosure-programma.”
Waarom IT-security meer dan ooit het hart van uw bedrijf zou moeten zijn.
lees meerTelenet Business klanten meest tevreden over hun outsourcingcontract
lees meerDeze gemeenschappelijke technologie voor vaste en mobiele telefonie schept enorme mogelijkheden", aldus Ravelingien.
lees meer