penetration test
20.02.2017

Penetration test vs Vulnerability scan

Door: Sylvester Klijnstra

Veel organisaties zijn ervan overtuigd dat een vulnerability test hetzelfde is als een penetratietest en kiezen dan voor de goedkoopste test. Ook pentesters nemen hier graag een loopje mee. Er zijn echter overtuigende verschillen tussen deze twee hackingtests. Wij laten u zien waar u op moet letten.

Iedereen wil de beste resultaten voor wat betreft informatiebeveiliging, tegen minimale kosten. Hierdoor ontstaat er eerder een gevoel van schijnveiligheid voor de organisatie, dan dat er gesproken kan worden van een adequate informatiebeveiliging. Dit geldt ook voor eventuele leveranciers/ afnemers en andere klanten die zaken doen met deze organisatie. Het is dan ook belangrijk om de verschillen te weten.

Een vulnerability (kwetsbaarheid) scan

Vulnerability scans/ assessments worden regelmatig verward met een penetratietest. Echter wordt er bij een vulnerability scan gebruik gemaakt van zogeheten “off-the-shelf” software, Zoals Nessus of OpenVas om IP adressen, open poorten of een range van ip adressen te scannen. Deze software zoekt naar kenmerken van reeds bestaande kwetsbaarheden, zoals verouderde software (ontbrekende patch) of bekende bugs (Heartbleed, CodeRed, Blaster). Deze kwetsbaarheden zijn reeds bekend bij de security community. Een vulnerability scan is een quick check van het gebruik van software zonder verdere stappen of diepgang. Het geeft alleen een melding bij gevonden kenmerken die overeenkomen. Er hoeft dus maar één onbekende kwetsbaarheid aanwezig te zijn om een beveiligingslek te creëren.

Kortom: een vulnerability scan is een fase (stap 1) van een penetratietest.

Penetration test

Waar een vulnerability scan ophoudt, gaat een penetratietest verder. De output van de vulnerability test is meestal stap 1 van een penetratietest. Het doel van een penetratie(pen-)test is om:

  • Inzicht te krijgen in de risico’s en kwetsbaarheden van het onderzochte systeem.
  • De beveiliging te verbeteren – met andere woorden, de risico’s en kwetsbaarheden te bestrijden.

Veel (professionele) penetratietesters voeren echter alleen een vulnerability scan uit en maken daarvan een rapport. Als organisatie wil je juist weten wat de gevolgen zijn en de next steps. Een goede penetratietester (ethische hacker) kijkt dan ook naar de output van de vulnerability scan en voert een zogeheten vulnerability assessment uit. Hierbij bekijkt de pentester de kwetsbaarheden op inhoudelijkheid en sluit de false positives uit die bij nader onderzoek geen kwetsbaarheden blijken.

Een goede pentester voert dus niet alleen een vulnerability scan uit, maar onderzoekt waar de kwetsbaarheid toe kan leiden. Welke informatie kan hij vinden en mogelijk uitbuiten? Deze bevindingen worden netjes gedocumenteerd in een adviesrapport waaruit blijkt hoe de kwetsbaarheden opgelost kunnen worden.

Adviezen voor u als opdrachtgever

  • Bepaal wat u nodig heeft. Soms biedt een vulnerabilityscan al meer dan genoeg inzicht. Dit is sterk afhankelijk van het risicoprofiel en de bestedingsruimte van uw organisatie.
  • Ga als opdrachtgever niet akkoord met een vulnerability scan als u voor een penetratietest betaalt.
  • Sta erop dat een pentester daadwerkelijk een penetratiescan uitvoert.
  • Mocht u te weinig weten van technische termen, laat dan een technicus bij het (oriënterende) gesprek met de pentester aanwezig zijn.
  • Teken nooit een offerte wanneer u deze niet juridisch heeft laten controleren.
  • Vraag altijd naar het stappenplan en de referenties van de pentester.
  • Stel vast of de pentester gebruik maakt van internationaal geaccepteerde standaarden zoals:
    • Open Web application Security Project (OWASP)
    • SysAdmin, Audit, Network, Security (SANS)
    • National Institute of Standards and Technology (NIST)
    • Information Systems Security Assessment Framework (ISSAF)
    • Open Source Security Testing Methodology Manual (OSSTMM)
  • Betaal alleen wanneer u tevreden bent over het eindresultaat, het eindresultaat bestaat tenminste uit:
    • de gebruikte applicaties (inclusief versienummer);
    • de parameters die zijn gebruikt bij de tests;
    • het tijdstip waarop de test is uitgevoerd;
    • het IP-adres waarvandaan de test is uitgevoerd;
    • een toelichting per gevonden verbeterpunt;
    • een inschatting van de prioriteit per verbeterpunt.

Weet wat u nodig heeft en waar u precies voor betaalt, zodat u ook daadwerkelijk een penetratietest krijgt en de veiligheid voor uw organisatie geoptimaliseerd wordt.

Vragen?

Neem contact met ons op via e-mail of door te bellen naar 085 208 208 9.

Categorie: IT security Kennis