Berichten

Het is een feit: wereldwijd spannen organisaties zich steeds meer in om hun data te beveiligen en (cyber)criminelen buiten hun systemen te houden. Maar toch slaagt dit niet altijd. En dan kunnen de gevolgen desastreus zijn. Een manier om proactief en consequent met informatiebeveiliging bezig te zijn, is het doen van ‘vulnerability scans’ en ‘pentesten’. Hoe werken ze, wat leveren ze op? Wij zetten het op een rij.

Onmisbare beveiligers van uw data: de vulnerability scan en pentest

Scan, test of beiden?

Wanneer laat u een penetratietest uitvoeren en wanneer een vulnerability scan? Deze twee soorten testen worden nog wel eens door elkaar gehaald. Ze lijken op elkaar, maar zijn toch verschillend en dienen een verschillend doel.

Vulnerability scan

Bij een vulnerability scan gaat u op zoek naar kwetsbaarheden (vulnerabilities) in software en systemen in een netwerk. Bij iedere kwetsbaarheid die naar voren komt, bepaalt u het risico (kans x impact) en daarmee de prioriteit. Op die manier kan een organisatie kwetsbaarheden verhelpen voordat een aanvaller er misbruik van kan maken. U pakt dus zwakke plekken meteen aan. Zonder daadwerkelijk aan te tonen dat de gevonden kwetsbaarheid uitgebuit kan worden door een kwaadwillende partij.

In een ideale situatie vinden vulnerability scans regelmatig plaats. Er worden dagelijks nieuwe kwetsbaarheden gevonden. Het is dus een continu proces. Veel organisaties die wij kennen, doen dagelijkse scans als onderdeel van hun informatiebeveiliging.  Gelukkig brengen ook leveranciers (zoals Microsoft) regelmatig nieuwe versies van hun software uit om opgespoorde vulnerabilities op te lossen. Voor organisaties is het essentieel om deze versies (updates of patches) zo snel mogelijk te installeren.

Pentesten

Waar een vulnerability scan input levert om software en systemen te patchen, gaat een pentest verder.  Een penetratietest kunt u laten doen op allerlei IT-systemen, van bedrijfsnetwerken tot webapplicaties en hardware. De pentest probeert daadwerkelijk misbruik te maken van de gevonden kwetsbaarheden. De pentester laat zien hoe ver iemand kan doordringen in een netwerk of welke data men kan bemachtigen. Het doen van een pentest begint met het uitvoeren van een vulnerability scan. De resultaten van de reeds eerder (hopelijk regelmatig) uitgevoerde vulnerability scan dienen als input voor de pentest.

Hoe vaak zijn deze scans en testen nodig?

De vulnerability scan is voor een groot deel te automatiseren. Resultaten worden als input gebruikt voor het patchmanagementproces. Een pentest wordt gebruikt om aan te tonen hoe kwaadwillende partijen misbruik zouden kunnen maken van de gevonden kwetsbaarheden. In de ideale situatie wordt een vulnerability scan dagelijks uitgevoerd en een pentest (afhankelijk van de situatie) een aantal keer per jaar. Pentesten is niet verplicht om een ISO27001 certificaat te behalen of te behouden. Regelmatig een pentest uitvoeren draagt echter bij aan een betere Informatie Beveiliging. Voor veel bedrijven voegt het veel waarde toe aan het mitigeren van informatie beveiliging risico’s.

Rapportage

Bij beide onderzoeken hoort een gedegen rapportage. Wat is kenmerkend voor zo’n rapportage?

Vulnerability scan

  • Compleet: de scan geeft inzicht in alle gevonden kwetsbaarheden;
  • Gesorteerd naar risico (hoog naar laag)
  • Bij deze vorm van rapporteren is het soms lastig om te bepalen wat de daadwerkelijke impact van een risico is.
  • Vulnerability management is verplicht voor het behalen/behouden van ISO27001 certificaat.

Pentest

  • Niet compleet: meestal worden slechts bepaalde kwetsbaarheden uitgebuit;
  • De bevindingen (inclusief bewijs) worden beschreven;
  • Deze vorm van rapporteren geeft veel meer inzicht in het risico van de gevonden kwetsbaarheden.
  • Is je vulnerability management op orde? Heb je de kwetsbaarheden opgelost? Dan lijkt een pentest overbodig. Wij beschouwen het regelmatig uitvoeren echter als een Best Practice. Het helpt jouw organisatie in het stellen van prioriteiten en het geeft een veel beter beeld hoe kwetsbaar jouw systemen zijn.

Heeft u twijfels over de volwassenheid van de Informatie Beveiliging van uw organisatie? Voert u pentesten uit maar wordt het tijd voor een frisse blik? Neem contact met ons op voor een vrijblijvend gesprek.

Wie is Mirato Group?

Vraagt u zich af of uw bedrijf de informatiebeveiliging en -management goed op orde heeft? Mirato helpt u bij het analyseren en definiëren wat nodig is. Het uitvoeren van pentesten is onderdeel van onze expertise. Wij volgen alle ontwikkelingen op het gebeid van (cyber) security op de voet. Onze aanpak is uniek en persoonlijk. Onze kracht schuilt in het bundelen van kennis en ervaring op het gebied van informatiemanagement (IM), Informatiebeveiliging (IB), Agile werken, project- en programmamanagement.

Hulp nodig? Vragen? Klik hier en neem contact met ons op.