Nulmeting en terugkerende pentesten: cruciaal voor de beveiliging van jouw organisatie.

Tegenwoordig is het geen vraag meer of je wordt getroffen door een cyberaanval, maar wanneer. Steeds meer organisaties worden hier slachtoffer van, zeker als ze hun basisbeveiliging niet op orde hebben. Aanvallers selecteren hun potenti le slachtoffers eerst op kans en kijken daarna pas welke vis ze binnen hebben gehaald. Gevolg is dat iedere organisatie slachtoffer kan worden, van ziekenhuis tot webwinkel en van havenbedrijf tot gemeente.

In december 2022 werd de stad Antwerpen slachtoffer van een grote cyberaanval met malware. Het Nieuwsblad kopte Stad Antwerpen zit met de handen in het haar na grote cyberaanval: Als de deuren in het slot vallen, weten we niet of we ze nog open krijgen . IT-voorzieningen zoals het aanvragen van vergunningen en het elektronisch betalen in musea waren niet meer mogelijk, en tot de dag van vandaag geeft de stad Antwerpen een dagelijkse update op haar website over welke IT-voorzieningen nog niet werken.

Hoewel Resillion (voorheen Eurofins Cyber Security) dit specifieke geval als buitenstaander niet inhoudelijk kan beoordelen, heeft het wel overeenkomsten met de situatie die wij in de praktijk bij onze klanten zien. Organisaties hebben geen overzicht van de informatiebeveiligingsrisico's die zij lopen. Ze zijn zich ervan bewust maar weten niet tot een concreet en effectief verbeterplan te komen, of ze denken dat risico's zijn verholpen zonder dit in de praktijk te (laten) checken. En waar dan te beginnen met dit te verbeteren?

Nulmeting

Vanuit het gedachtengoed dat een status van de beveiliging en de mutaties leiden tot een nieuwe status is het natuurlijk niet verkeerd om zowel de status als de mutaties te onderwerpen aan allerlei beheer- en wijzigingsprocessen die zijn vermeld in de good practices. Resillion adviseert organisaties dan ook hun hardware- en softwarewijzigingen regelmatig te laten testen door onafhankelijke interne en/of externe beveiligingsteams. Dit kan in de vorm van een penetratietest waarbij de scope de gehele infrastructuur omvat, maar de test kan zich ook richten op enkel een nieuw systeem dat wordt ge ntroduceerd.

Voor organisaties die nog nooit of slechts sporadisch een penetratietest hebben laten uitvoeren, kan dit in de vorm van een nulmeting. Het doel hiervan is om een globaal overzicht te krijgen van de belangrijkste technische tekortkomingen in het design of de implementatie van een IT-infrastructuur.

Terugkerende penetratietesten kunnen zich richten op de volledige infrastructuur, maar ook op individuele systemen, bijvoorbeeld omdat deze nieuw worden opgeleverd. E n klant van Resillion laat al haar systemen testen voordat deze live gaat of significant wijzigt. Door commitment vanuit de raad van bestuur gaan deze systemen niet live als er ook maar n gemiddeld, hoog of kritieke bevinding uit de test komt. Resillion constateert dat deze aanpak ervoor zorgt dat veel beveiligingsrisico's al vroegtijdig worden weggenomen of gemitigeerd. In feite worden zo stapsgewijs delen van de infrastructuur vervangen door robuuste systemen.

Verbeterplan

De bevindingen uit een pentest zijn vaak niet op zichzelf staande problemen, maar veel vaker zijn zij het resultaat van meer generieke problemen: dat een groot aantal systemen niet up-to-date zijn qua security updates kan niet worden opgelost door enkel deze individuele systemen te gaan updaten, maar vereist ook dat de werking van het patch- en vulnerability managementbeleid wordt gecontroleerd.

Als dus uit een inventarisatie aan het licht komt dat niet alles in orde is, hoe zorg je er dan voor dat je beveiliging wel in orde komt en blijft? Dat is een vraag waar veel organisaties iedere dag mee bezig zijn en waarover veel raamwerken en good practices zijn gepubliceerd. Denk hierbij aan Cobit, ITIL, ISO 27001 en de NIST-standaarden. De gemeenschappelijke noemer is dat er in een organisatie processen aanwezig zijn die de techniek, organisatie en mensen verbinden en regelkringen zoals het plan-do-check-act model van Deming of het identify-protect-detect-response-recover model van NIST. Veel organisaties zijn in de nieuwe NIS2 richtlijn zelfs verplicht adequate maatregelen te nemen ten aanzien van het beheer van cyberrisico's, penetratietesten, incident response' en herstel.

Meten is weten

Vervolgens is het zaak regelmatig de effectiviteit van maatregelen te controleren. Want werken het informatiebeveiligingsbeleid en de processen ook echt? Resillion ziet vaak dat op papier alles perfect lijkt ingeregeld, maar dat dit in de praktijk toch anders is. Een aantal voorbeelden:

Organisatie X beschreef in zijn beleid precies aan welke beveiligingseisen systemen moeten voldoen. Bij een penetratietest door Resillion bleek dit ook grotendeels zo te zijn, maar bleken er ook ongedocumenteerde systemen aanwezig te zijn in het netwerk die door individuele afdelingen werden beheerd (zogenaamde shadow-IT ). Deze systemen waren zeer slecht beveiligd en binnen een paar minuten konden beheerrechten worden verkregen. De gebruikerswachtwoorden op deze systemen bleken overeen te komen met het centrale (identity & access management) Active Directory (AD) domein, en er op het interne netwerk van de organisatie werd geen gebruik gemaakt werd van Multi-Factor Authentication . Zodoende kon Resillion uiteindelijk toch toegang krijgen tot het centrale AD domein, en daarmee de file servers met allerlei bedrijfsgevoelige informatie.

De resultaten van de penetratietest werden nadien niet alleen gebruikt om de individuele bevindingen op te lossen, maar ook om in breder verband shadow-IT binnen de organisatie te gaan opsporen.

Organisatie Y had bij het afnemen van een softwarepakket de leverancier gevraagd naar het beveiligingsniveau van het product. De leverancier gaf aan jaarlijks een pentest te laten uitvoeren, en dat bij de vorige pentest was gebleken dat de software veilig was. Tij

LINK:	https://www.resillion.com/nulmeting-en-terugkerende-pentesten-cruciaal...
	See more stories from eurofins

More from Eurofins