Het verschil tussen een security scan en pentest
Een penetratietest (pentest) en security scan zijn beide methoden om de beveiliging van een website of applicatie te beoordelen. Met een security scan identificeer je potentiële kwetsbaarheden in een systeem of netwerk met behulp van geautomatiseerde tools. Tijdens een pentest test je de beveiliging van een systeem of netwerk met behulp van geautomatiseerde én handmatige technieken en probeer je daadwerkelijk toegang te krijgen tot een website of applicatie. Een security scan kan alleen oppervlakkige kwetsbaarheden detecteren, terwijl een pentest dieper kan graven en meer complexe kwetsbaarheden kan identificeren.
Een security scan is meestal een geautomatiseerde scan van de website of applicatie die zoekt naar bekende kwetsbaarheden, zoals de Open Worldwide Application Security Project (OWASP) top 10. Om bijvoorbeeld te controleren of de software up-to-date is en of er beveiligingspatches zijn geïnstalleerd. Het is een snelle en eenvoudige methode om de beveiliging te beoordelen, maar biedt geen volledig beeld van de kwetsbaarheden die een kwaadwillende hacker zou kunnen aangrijpen.
Een penetratietest (pentest) daarentegen is een handmatige test die simuleert hoe een hacker te werk zou gaan om een systeem binnen te dringen en gevoelige informatie te verkrijgen of schade aan te richten. De test omvat vaak het gebruik van geavanceerde technieken en methoden die lastiger of niet gedetecteerd kunnen worden door een geautomatiseerde scan. Het is een veel grondigere en intensievere test dan een security scan, en zal veel meer tijd kosten. Een pentest wordt alleen in opdracht van en met nadrukkelijke toestemming van de klant uitgevoerd.
Omvang van een pentest
De omvang van de pentest is afhankelijk van het beoogde doel, de gekozen methode en het beschikbare budget. Grofweg zijn er drie soorten pentesten:
- Black box pentest: de pentester krijgt vooraf geen informatie over de IT-infrastructuur en verplaatst zich daardoor makkelijker in een opportunistische, niet-geïnformeerde hacker. De beschikbare tijd en budgetten zijn vooraf wel afgestemd.
- Grey box pentest: de pentester krijgt beperkte informatie over de IT-infrastructuur, bijvoorbeeld een medewerkersaccount, en beschikt daardoor over ongeveer evenveel voorkennis als een klant, medewerker of goed geïnformeerde hacker.
- White box pentest: de pentester krijgt vooraf alle beschikbare informatie over de IT-infrastructuur en kan daardoor zeer grondige testen uitvoeren. Voordeel is dat de pentester efficiënter de tijd kan omgaan, waardoor minder budget nodig is.
Hoe zetten wij bij Netvlies security testen en pentesten in?
‘Security by design’ is vast onderdeel van onze project aanpak. Voor we ook maar één regel code schrijven, leggen we met de klant een stevig fundament om de security basis van een website of applicatie goed weg te zetten. Los van de wensen en eisen van de klant hanteren we zelf een aantal basiseisen op het gebied van development, servers, monitoring en compliance, zoals het na livegang actief monitoren van kritieke processen. Daarnaast maken we gebruik van bewakings- en anlyseplatformen als Datadog.
Hackeraanvallen faken met Burp Suite
Ook na livegang nemen we maatregelen en monitoren we actief op mogelijke beveiligingsrisico's. Zo gebruiken we tools als Burp Suite om een hackersaanval te faken. Dit doen we om mogelijke zwakheden makkelijker en sneller te herkennen en hier tijdig op te anticiperen. Burp Suite is gebouwd door en voor pentesters, waardoor het een zeer betrouwbare en volledige tool is om potentiële zwakheden snel in kaart te brengen. In Burp Suite kunnen we zowel geautomatiseerde testen als handmatige testen opzetten.
Onafhankelijke partij
Bij livegang van een nieuwe website of applicatie wordt standaard door een onafhankelijke partij een security scan uitgevoerd. In overleg met de klant huren we een onafhankelijke partij om een pentest uit te voeren en daadwerkelijk te proberen de applicatie of website van de klant te hacken. De frequentie en het type test zijn afhankelijk van de afspraken die we met de klant hebben gemaakt.
Hoe gaan we tijdens een pentest om met vertrouwelijke data?
Voor een pentest wordt altijd een geheimhoudingsverklaring (Non Disclosure Agreement) getekend. Daarnaast werken wij enkel samen met partijen met de juiste kwalificaties, zoals een Verklaring Omtrent Gedrag en certificeringen als ISO-27001 en ISO-9001.
Rapportage
De bevindingen van de tests worden direct aan de klant gerapporteerd. Doorgaans geldt: hoe uitgebreider de scan of pentest, hoe uitgebreider de rapportage. De kwetsbaarheden worden door ons gecategoriseerd volgens OWASP top 10-standaard en hierbij gebruiken wij het risico classificatiesysteem CVSS. In de rapportage staan een beschrijving van de bevindingen, de mogelijke impact van een gevonden kwetsbaarheid en aanbevelingen om kwetsbaarheden op te lossen en beveiligingsrisico's op te lossen.
Wat doen we met de resultaten van een pentest?
De aanbevelingen naar aanleiding van een pentest worden zo snel mogelijk doorgevoerd. Afhankelijk van de resultaten van de scan kan er een vervolgtraject plaatsvinden om eventuele zwakke plekken onder handen te nemen waarna een hertest gedaan kan worden om het af te ronden. Daarbij pakken we kritische bevindingen altijd direct op vanwege het veiligheidsrisico. Overige bevindingen worden in overleg met klant opgepakt als project of tijdens ontwikkel sprints.
Sneller zicht op potentiële risico's
Netvlies neemt voor, tijdens en na het ontwikkelproces allerlei maatregelen om de beveiliging van websites en applicaties van onze klanten te waarborgen. We combineren de wensen en eisen van de klant en wet- en regelgeving met onze eigen minimale eisen op het gebied van development, servers, monitoring en compliance. Zo zorgen we dat de kritische bedrijfsprocessen van onze klanten veilig blijven werken. Security scans en pentesten zijn een belangrijke aanvulling en helpen ons om nóg beter zicht te krijgen op potentiële risico's en kwetsbaarheden. Ook ver na de livegang van een applicatie of website.