Verdedigen of aanvallen?
Het is een continue strijd tussen aanvallers en verdedigers in de cybersecurity. Vaak hebben hackers een voorsprong waarop je als verdediger niet altijd effectief kunt anticiperen. Door dit spanningsveld blijf je je altijd afvragen hoe goed jouw klant nou eigenlijk bestand is tegen cyberaanvallen, zoals ransomware, interne fraude of spearhpishing?
Je hebt bij jouw klanten natuurlijk de beveiliging al op de rit; de verdediging is geregeld. Je hebt de basis security opgezet met minimaal een backup-oplossing, een firewall, een actieve antivirus tegen virussen en malware en awareness bij de gebruikers gecreëerd. Misschien ben je bij sommige klanten nog een stap verder gegaan met MFA (MultiFactor Authentication), geavanceerde emailbeveiliging, (endpoint) detection & response of encryptie. Maar ook met de inzet van deze (en andere) verschillende beveiligingsoplossingen kan het zijn dat “security oplossing operationeel” en “verdediging geactiveerd” niet voldoende is.
Hoe goed is de klant nou eigenlijk bestand tegen cyberaanvallen, zoals ransomware, interne fraude of spearhpishing? Als je dat wilt weten kun je eigenlijk alleen maar de beveiliging van software, websites, applicaties en netwerken testen, oftewel de inzet van offensive security. Het wordt ook wel pentesting of penetratietesting genoemd. Hiermee ga je testen door aanvallen te simuleren zoals een echte hacker of cybercrimineel dat zou doen. Daarmee wordt een realistisch beeld gecreëerd van mogelijke risico’s en kwetsbaarheden. Uiteraard met als doel om de beveiliging gericht te verbeteren en te versterken.
Het testen kan op verschillende niveau’s worden ingezet, maar betekent altijd samenwerking van verschillende teams.
Het passief testen (Team Blue) is feitelijk de bevestiging vragen dat je de inrichting goed gedaan hebt, wat met basistesten getoetst wordt. Denk hierbij aan portchecks op je externe IP, controles of je gebruikersaccounts MFA hebben en mogelijk een standaard phishing-campagne.
Met een actieve check ga je echter verder door een aanval te simuleren (Team Red). Dan gaat een ethical hacker echt proberen bij je binnen te komen, de penetratietesten. Hierbij zal er meer onderzoek gedaan worden, waardoor bijvoorbeeld een echte poging tot hack wordt ondernomen. Natuurlijk zonder echte data te verliezen! Het Blue Team, dat verantwoordelijk is voor de verdediging, kan op verschillende manieren betrokken zijn (of helemaal niet, zodat de test een nog realistischer beeld geeft).
In alle gevallen heeft Team White (de waarnemers) de mogelijkheid om te escaleren en de-escaleren indien nodig.
Uiteraard wordt dit alles afgesloten met een duidelijke presentatie van de resultaten.
Met als gehoopte resultaat 'niet gelukt, goed bezig'. Maar ook dan worden eventuele potentiële aanvalsvectoren benoemd, bevindingen gedeeld en verbeterpunten uitgewerkt.
In het geval dat men eenvoudig digitaal kon inbreken... dan zijn er natuurlijk meer verbeterpunten!
Bij Prianto zien we steeds vaker de vraag voor Offensive Security voorbijkomen, zowel via partners van eindgebruikers als van MSPs. Is de aanval dan toch de beste verdediging…?
