"Zo'n pentest...kan dat ook niet gewoon met een scannetje of een tooltje?". Soms komt deze vraag voorbij. Logisch want er zijn genoeg tools die claimen een volwaardige penetratietest (pentest) uit te kunnen voeren door simpel op een knop te drukken. En we komen ze zelfs tegen, gehele "pentest rapportages" die als dusdanig verkocht zijn aan klanten maar in werkelijkheid een geautomatiseerde scan waren.
Dus hoe zit het nu eigenlijk? Kun je een pentest doen met een tool of geautomatiseerde scan? Ik vind van niet. Een tool kan je wel tot dienst zijn. Om bijvoorbeeld een idee te krijgen hoe de applicatie of het netwerk dat je gaat pentesten in elkaar steekt. Een programma kan je helpen het “laaghangende fruit” te pakken, inzicht te krijgen in versienummers die gebruikt worden en zo een startpunt te zijn voor de pentest.
Een pentest is veel meer. Het is mensenwerk. Een voorbeeld: een scan tool die geautomatiseerd een netwerk bekijkt en zoekt naar bekende kwetsbaarheden (ook wel de “known vulnerabilities” genoemd) zorgen ervoor dat je snel inzicht krijgt in welke kwetsbaarheden er zijn. In veel gevallen worden databases als Mitre gebruikt om te tonen waar een kwetsbaarheid zich kan bevinden en wat de impact kan betekenen als de kwetsbaarheid niet snel gedicht wordt. Maar veel te vaak komen we tijdens pentesten dingen tegen die een scanner niet had kunnen zien. Denk bijvoorbeeld aan back-upbestanden die corrupt blijken te zijn. Of gedeelde schijven op een netwerk waar iedereen bij kan en waar privacygevoelige documenten opstaan die juist niet met iedereen gedeeld moeten worden, zoals identiteitsbewijzen. Ook het combineren van bepaalde aanvalvectoren kan een tool niet, simpelweg omdat de tool niet als een mens kan denken. Althans nog niet. Een voorbeeld van een aanvalvector is wanneer een crimineel zich in een netwerk bevindt en zichzelf, door een fout in de rechtenmatrix of een fout in een applicatie, kan opwaarderen naar een gebruiker met hogere rechten we noemen dit (“privilege escalation”). De tool die geautomatiseerd scant kan fouten vinden, maar het daadwerkelijk escaleren van gebruikersrechten blijft onmogelijk omdat de tool niet weet welke rechten er bij een gebruiker horen.
Ook het beoordelen van een kwetsbaarheid gaat in een tool geautomatiseerd. Hoewel dit handig kan klinken is het zo dat een kwetsbaarheid die wordt gevonden door een stukje programmatuur ook een “false positive” kan zijn. Oftewel een bevinding die lijkt op een kwetsbaarheid maar dat in werkelijkheid niet is. Daarnaast is er dan nog de impact van de kwetsbaarheid op de organisatie. Hoe hoog wordt die ingeschat? Is het echt “high impact” of valt het eigenlijk wel mee? Andersom natuurlijk ook: wanneer een tool niets vindt betekent het niet dat er daadwerkelijk niets gevonden kan worden.
Vaak wordt gedacht dat een pentest zich enkel bezighoudt met software (applicaties, netwerken, web, dat soort zaken). Soms komt hardware om de hoek kijken bij een pentest, maar veel vaker komt het voor dat een organisatie ook gepentest kan worden op menselijk handelen. Er kunnen enorm veel tools worden ingezet om een beeld te krijgen van de staat van de software en hardware die gebruikt wordt. Zelfs tijdens het pentesten kan dat nog. Maar er is geen enkele scanner die geautomatiseerd de integriteit van mensen kan testen. Daarvoor is nog altijd “social engineering” nodig.
Het pentesten van software, hardware en mensen op kwetsbaarheden blijft mensenwerk. Het is verstandig om een pentest uit te (laten) voeren waarbij in kaart wordt gebracht waar de kwetsbaarheden zitten, hoe deze uitgebuit kunnen worden en wat je er als organisatie aan kunt doen.
Benieuwd hoe u uzelf en uw organisatie kunt wapenen tegen digitale kwetsbaarheid en cybercriminaliteit? Volg dan de cursus ‘Bewustzijn van Informatiebeveiliging: kwetsbaarheden en risico’s’ . De cursus is bedoeld voor FG’s, CISO’s, Privacy Officers, management en overige professionals binnen organisaties die zich bezig houden met het managen van informatiebeveiligingsrisico’s. Meer informatie vindt u hier .
