T-Systems-Claim-Logo
Zoeken
Ein Ritter mit Speer und Schild

Het is tijd om in de aanval te gaan als het gaat om cyberbeveiliging!

Gebruik geautomatiseerde penetratietests om kwetsbaarheden in systemen sneller op te sporen dan de aanvallers

14. mei 2024Dheeraj Rawal

De achtergrond

Wachten tot een cyberaanval kwetsbaarheden in je systemen blootlegt, is als spelen met vuur. Tegenwoordig kunnen bedrijven deze aanpak niet meer riskeren. Je kunt in de aanval gaan met penetratietests. In deze blog lees je hoe penetratietests bedrijven kunnen helpen om hun beveiligingsmaatregelen te versterken. Hoe organisaties sneller meer resultaten kunnen behalen met geautomatiseerde penetratietests en voorbeelden van bedrijven die kostbare datalekken hadden kunnen voorkomen. 

Penetratietests: Een proactieve benadering van veiligheid

Nu het aanvalsoppervlak steeds groter wordt en organisaties geplaagd worden door cyberaanvallen, neemt de vraag naar penetratietesten (ook bekend als pentesting en ethisch hacken) ongetwijfeld toe. Penetratietests zijn geen nieuwe procedure. Al in 1967 kwamen ongeveer 15.000 beveiligingsexperts en andere specialisten samen op een conferentie om te bespreken of het mogelijk zou zijn om communicatielijnen binnen te dringen.1

In zekere zin was dit het begin van het penetratietestproces, waarbij beveiligingsteams aanvallen uitvoeren op hun infrastructuur om kwetsbaarheden te vinden in systemen, netwerken, hardware, software enzovoort. Hoewel de methoden zijn geëvolueerd, is het doel nog steeds om gaten in de beveiliging te dichten en de veiligheidsmaatregelen te verbeteren.

Organisaties weten dat veel van deze cyberaanvallen of datalekken worden uitgevoerd door aanvallers die misbruik maken van een of meer bestaande kwetsbaarheden in het systeem. Ze realiseren zich dit pas achteraf, wanneer er al een aanval heeft plaatsgevonden. Natuurlijk is penetratietesten een goede proactieve benadering om kwetsbaarheden in het systeem te identificeren voordat er een beveiligingsincident of datalek plaatsvindt.
 

Kwetsbaarheden die erg duur kunnen zijn

Datalekken zijn nu aan de orde van de dag. In 2023 werden meer dan 8 miljard gegevensrecords gestolen bij ongeveer 2800 beveiligingsincidenten.2 Datalekken kunnen bedrijven veel geld kosten. De gemiddelde kosten van een datalek in 2023 bedroegen USD 4,45 miljoen.3 Kunnen datalekken worden voorkomen door offensieve beveiligingsmethoden zoals penetratietests? Het antwoord is duidelijk ja. 

Enkele van de meest voorkomende redenen voor datalekken zijn zwakke en niet-functionerende authenticatie, ongepatchte software, verkeerd geconfigureerde diensten en toepassingen, onveilige API's, enz. Met penetratietesten kunnen deze problemen van tevoren worden herkend. Problemen zoals onvoldoende authenticatie en onjuiste toegangscontrole lijken misschien onbeduidend, maar kunnen rampzalige schade veroorzaken.
 

Kwetsbaarheden in de beveiliging die tot ernstige aanvallen hebben geleid

In 2019 werd First American Financial Corporation, een Amerikaanse financiële dienstverlener, getroffen door een datalek waarbij ongeveer 885 miljoen gevoelige documenten werden blootgelegd.4 Deze documenten omvatten rekeningnummers van klanten, bankafschriften, hypotheekdocumenten, enz. 

Al deze documenten werden opgeslagen op een pagina van de website van het bedrijf en waren bedoeld voor toegang door bepaalde gebruikers. Iedereen die de link naar deze pagina wist te vinden, kon toegang krijgen tot deze gevoelige klantgegevens. Dit is een eenvoudig geval van een authenticatieprobleem dat is uitgebuit. In 2023 trof het bedrijf een schikking van USD 1 miljoen met het New York State Department of Financial Services (DFS).

Equifax, een ander Amerikaans kredietinformatiebureau, werd in 2017 getroffen door een datalek als gevolg van een beveiligingslek in een webportaal dat het bedrijf 1,4 miljard dollar aan schikkingen kostte. meer over.

Pentesting-tools hadden de zwakke plekken in de beveiliging in een vroeg stadium aan het licht kunnen brengen en de schadelijke gevolgen kunnen voorkomen. 

Hoe werken penetratietests?

Penetratietests worden meestal stap voor stap uitgevoerd door het beveiligingsteam, zoals hieronder wordt uitgelegd:

  1. Planning en verkenning: Het doel van penetratietesten begrijpen - op welke systemen je je moet richten, welke beveiligingstools je moet gebruiken, enz.
  2. Scannen: Systemen en netwerken scannen om kwetsbaarheden te identificeren.
  3. Toegang krijgen: Een of meer kwetsbaarheden misbruiken om het systeem binnen te dringen.
  4. Toegang behouden: Proberen om onopgemerkt te blijven in het systeem.
  5. Analyseren en rapporteren: Analyseren van kwetsbaarheden in de systemen, hoe ze kunnen worden uitgebuit en andere details.

Naast het identificeren van kwetsbaarheden voeren organisaties penetratietests uit om verschillende andere redenen, zoals het beoordelen van de effectiviteit van bestaande beveiligingscontroles, het voldoen aan compliance-eisen en het beheren en beperken van risico's op het gebied van cyberbeveiliging. Dit schept vertrouwen bij belanghebbenden en klanten. 

De reikwijdte van penetratietests begrijpen

Penetratietests verschillen van kwetsbaarheidsanalyses. Kwetsbaarheidsanalyse dient alleen om beveiligingslekken in de systemen te identificeren, terwijl penetratietests gericht zijn op het uitbuiten van deze kwetsbaarheden en het bepalen van de impact van de aanval en de effectiviteit van de beveiligingscontroles.

Penetratietests worden uitgevoerd om verschillende aspecten te beoordelen, zoals netwerken, webtoepassingen, API's, draadloze netwerken, social engineering (om te controleren op kwetsbaarheden in menselijk gedrag), fysieke penetratie, red team (het simuleren van een volwaardige aanval onder echte omstandigheden), enz. 

Deze aspecten worden getest door aanvallen van zowel buiten als binnen de organisatie uit te voeren. Afhankelijk van welke toegang en welke informatie de penetratietester krijgt, zijn er drie categorieën.

Soorten penetratietests

Infographic toont verschillende soorten penetratietests
  1. White box tests
    Dit type test wordt uitgevoerd om kwetsbaarheden te identificeren vanuit het perspectief van een insider. Ze bepalen hoe iedereen met toegang tot interne systemen mogelijk schade kan aanrichten. Ze brengen kwetsbaarheden aan het licht, zoals programmeerfouten, onveilige configuraties, de structuur van het interne netwerk, enz. 
  2. Black box tests
    Deze tests worden uitgevoerd op een vergelijkbare manier als een echte cyberaanval van buitenaf vanuit het perspectief van een aanvaller, zonder dat de tester toegang krijgt tot het systeem of systeemgerelateerde informatie. Via black box testing kunnen testers kwetsbaarheden vinden met betrekking tot injectieaanvallen, DDoS, problemen met webtoepassingen, verkeerde serverconfiguraties, authenticatie en gebrekkige toegangscontrole, enz. 
    Onjuiste toegangscontrole is bijvoorbeeld geen ongewoon probleem. In 2021 rapporteerde OWASP dat 94% van de geteste applicaties problemen had met toegangscontrole.5 Een gebrekkige toegangscontrole kan gebruikers informatie laten zien die ze niet mogen zien. Er zijn andere gevolgen, zoals onbevoegde toegang, escalatie van bevoegdheden, lekken van gegevens, niet-naleving van regelgeving en nog veel meer. 
    In het geval van het datalek bij Equifax werd misbruik gemaakt van een kwetsbaarheid in het webportaal. Ongeveer 143 miljoen mensen werden getroffen door dit datalek. Dergelijke bestaande kwetsbaarheden kunnen worden geïdentificeerd door middel van penetratietests. In dit specifieke geval kunnen black box tests erg nuttig zijn.
  3. Grey box tests
    Dit type test geeft de tester wat informatie over de systemen. Met deze gedeeltelijke kennis kan hij proberen zwakke punten te vinden, niet alleen op programmeerniveau, maar ook op functioneel niveau - wat het midden houdt tussen white box en black box testen. 

Er zijn enkele uitdagingen met handmatige penetratietests.

De nadelen van handmatige penetratietests

  1. Tijdrovend: Beoordelingen van beveiligingsmaatregelen en grondige handmatige validaties kunnen soms enkele maanden duren.
  2. Intensief gebruik van hulpbronnen: Bedrijven hebben gekwalificeerde specialisten, de juiste hulpmiddelen en een budget nodig. 
  3. Foutgevoelig: Handmatige penetratietests zijn gevoelig voor fouten, omdat beveiligingsteams kwetsbaarheden over het hoofd kunnen zien. De handmatige aanpak genereert ook veel vals-positieve en vals-negatieve resultaten.
  4. Beperkt bereik: Niet alle systemen of aanvalsoppervlakken worden gedekt, omdat testers niet testen wat ze niet weten of zien en daarom soms onvoldoende grondige penetratietests uitvoeren.
  5. Inconsistent: Experts gebruiken verschillende methoden, wat leidt tot resultaten die de status quo van kwetsbaarheden en beveiligingsmaatregelen niet volledig weergeven.
  6. Niet schaalbaar: Voor organisaties die groeien met moderne CI/CD-strategieën (Continuous Integration/Continuous Deployment) is handmatig penetratietesten moeilijk op te schalen met beperkte middelen.
  7. Beschikbaarheid van expertise: Vanwege de complexiteit van de tests zijn er niet veel hooggekwalificeerde pentesters op de markt, wat leidt tot een tekort aan geschoolde arbeidskrachten.
  8. Kosten: De meeste bedrijven hebben externe experts en tools nodig om uitgebreide penetratietests uit te voeren. Door het tekort aan geschoolde arbeidskrachten zijn de prijzen voor de benodigde geschoolde arbeidskrachten hoog, wat het geheel erg duur maakt.

Deze nadelen van handmatige penetratietests zijn de reden waarom bedrijven kiezen voor geautomatiseerde penetratietests. 
 

Wat is geautomatiseerd penetratietesten?

Programmeur die met computers werkt

Met geautomatiseerde pentesting vertrouwen bedrijven op geavanceerde tools in plaats van menselijke tussenkomst om kwetsbaarheden in hun netwerken, applicaties of systemen te identificeren. Elk bedrijf met een digitaal landschap en aanvalsoppervlak, ongeacht de grootte, kan deze geautomatiseerde aanpak gebruiken om een proactieve cyberdefensie op te bouwen.

Geautomatiseerde pentesting biedt vele voordelen die pleiten voor de introductie ervan. Het optimaliseert de processen en maakt het mogelijk om de testprocedure sneller uit te voeren, waardoor de doorlooptijd van het project korter wordt. Dit is een van de belangrijkste functies, omdat repetitieve en tijdrovende taken geautomatiseerd kunnen worden met de workflows. Het kan een reeks aanvalsscenario's nabootsen om het testproces te versnellen.

Andere voordelen van geautomatiseerde penetratietests

Het maakt ook herhaalbaarheid mogelijk, zodat bedrijven routinebeoordelingen kunnen uitvoeren. Met de mogelijkheid om continu te scannen en te monitoren, kunnen organisaties nieuwe kwetsbaarheden, verouderde of ongepatchte applicaties, misconfiguraties, zwakke authenticatie, onjuiste toegangscontroles en nog veel meer ontdekken. Deze kunnen worden verholpen om minimale verstoring en bedrijfscontinuïteit te garanderen. Bedrijven kunnen ook inzichten verwerven via gedetailleerde analyse- en rapportagefuncties. De rapporten maken ook een risicoprofiel van het systeem door kwetsbaarheden te categoriseren op basis van hun ernst. 

Bedrijven kunnen Automated Penetration Testing gebruiken in grote infrastructuren zonder zich zorgen te hoeven maken over schaalbaarheid en dekking. Deze testaanpak is ook een kosteneffectief alternatief, omdat bedrijven niet veel tijd en geld hoeven te investeren in het inhuren van gekwalificeerde beveiligingstesters. 

Geautomatiseerde penetratietests elimineren de noodzaak voor menselijke tussenkomst niet volledig, maar de inspanning wordt wel verminderd, waardoor beveiligingsteams zich op andere belangrijke taken kunnen richten. 

Hoe werkt Automated Pentesting?

Verkenning: Geautomatiseerde tools verzamelen informatie over het doelnetwerk, systemen, toepassingen, toegangspunten en kwetsbaarheden.

Scannen: Scanners worden systematisch gebruikt om de doelomgeving te onderzoeken op open poorten, services en kwetsbaarheden.

Berekening: Geautomatiseerde tools berekenen systeemdetails, zoals gebruikersaccounts, netwerkshares en configuraties, om de reikwijdte van mogelijke aanvallen verder te beperken.

Uitbuiting: Scripts worden gebruikt om kwetsbaarheden te misbruiken en ongeautoriseerde toegang te krijgen, commando's uit te voeren en systeembronnen te manipuleren, waarbij echte aanvalsscenario's worden nagebootst.

Post-exploitatie: Verder informatie verzamelen, escalatie van bevoegdheden en toegang houden tot gecompromitteerde systemen.

Rapportage: Aanmaken van gedetailleerde rapporten over de resultaten van Automated Pentesting. De rapporten vermelden ook de mate van ernst, aanbevelingen voor herstelmaatregelen en een prioriteitenlijst.

Al deze fasen worden uitgevoerd met behulp van geautomatiseerde tools. Deze tools bieden een raamwerk voor het ontwikkelen, testen en uitvoeren van exploits tegen de doelsystemen. Sommige van deze tools hebben ook een uitgebreide database met bekende kwetsbaarheden, waardoor geautomatiseerde pentesting zeer effectief is. Ze kunnen kwetsbaarheden detecteren met betrekking tot SQL-injecties, cross-site scripting (XSS), verkeerde serverconfiguraties, enz.

Enkele van de populairste geautomatiseerde tools voor penetratietesten op de markt zijn RidgeBot, Metasploit, Nessus, OpenVas, Burp Suite, Armitage, Nmap, SQL Map en ZAP.

Bedrijven vertrouwen steeds vaker op geautomatiseerde pentesting om proactief kwetsbaarheden in hun systemen te identificeren en de risico's van cyberaanvallen en datalekken te minimaliseren. Ze willen hun beveiliging verbeteren, hun compliance verhogen en hun gegevens beschermen met offensieve beveiligingsstrategieën. Schade zoals financiële verliezen, reputatieverlies en regresverplichtingen kunnen worden vermeden door dergelijke beveiligingsconcepten.
 

Kwetsbaarheden vinden via geautomatiseerde penetratietests met T-Systems

Met onze ervaring en expertise kunnen we uitgebreide penetratietests uitvoeren voor netwerken en webapplicaties. Na de tests stellen we een technisch rapport en een uitvoerend rapport op met onze aanbevelingen om je te helpen de volgende stappen te prioriteren. Onze beveiligingsexperts zijn Offensive Security Certified Professionals (OSCP) en houden zich aan de best practices in de branche en de wettelijke vereisten. We volgen ook het MITRE ATT&CK-raamwerk voor standaardisatie, in kaart brengen, dreigingsemulatie, risicobeoordeling en voortdurende verbetering.

Bouw samen met ons vertrouwen op in een offensieve cyberbeveiligingsstrategie. Praat met ons voor meer informatie.

Download de flyer voor gedetailleerde informatie.

Diensten voor geautomatiseerde pentesting

Informatie over de auteur
Dheeraj Rawal

Dheeraj Rawal

Content Marketer, T-Systems International GmbH

Alle artikelen en het profiel van de auteur

Relevante oplossingen

We kijken uit naar je mening

Heb je ideeën, suggesties of vragen over dit onderwerp? We nodigen je van harte uit om ideeën met ons uit te wisselen. Neem contact met ons op!

1 The History Of Penetration Testing, 2019, Infosec Institute
2 List Of Data Breaches, 2024, IT Governance
3 Cost Of Data Breach, 2023, IBM
4 Artikel First American Financial Data Leak, 2019, Forbes
5 Broken Access Control Report, 2021, OWASP

Do you visit t-systems.com outside of Netherlands? Visit the local website for more information and offers for your country.