Geautomatiseerd Pentesten: Hoe en Waarom?

    Omdat datalekken steeds vaker voorkomen binnen bedrijfsnetwerken die met de dag complexer worden, is het noodzakelijk dat organisaties over een robuuste verdedigingslinie beschikken. Voor de meeste organisaties betekent dit dat zij moeten kiezen voor een geautomatiseerde oplossing voor penetratietests voor het in kaart brengen van kwetsbaarheden binnen het netwerk, met advies over de manieren waarop maatregelen kunnen worden geïmplementeerd.

    Wat pentesten inhoudt

    Penetratietesten (ook wel pentesting genoemd) is een gecontroleerde poging om inbreuk te maken op IT-systemen. Penetratietests worden uitgevoerd in opdracht van de organisatie, om zwakke plekken in de beveiliging te ontdekken en te verhelpen. Hoe dit precies in zijn werking gaat? Laten we ten eerste kijken naar de stadia waaruit een penetratietest bestaat, zoals beschreven door EC-Council:

    1. Information Gathering
    2. Reconnaissance
    3. Gaining access
    4. Maintaining access
    5. Documenting and Reporting

    Om de tijd van het uitvoeren van pentests te verkorten, streven veel organisaties ernaar delen van het proces te automatiseren aan de hand van tools die de inspanning kunnen verlichten. Wel worden deze geautomatiseerde pentests over het algemeen overzien door een Security Analyst, zodat oppervlakkige problemen snel worden herkend en opgelost.

    Hoe pentest automatisering wordt toegepast

    Geautomatiseerde penetratietesters bieden snelheid en schaal, waarbij honderden aanvallen op verschillende bedrijfsmiddelen en vanaf meerdere eindpunten in het netwerk worden ingezet. In tegenstelling tot scanners kunnen zij een bepaald niveau van verkennend onderzoek uitvoeren. Denk hierbij bijvoorbeeld aan Network/Port Scans, Transport Layer Security Scans, en Dependency Scans (NPM, Maven, etc). Deze scans worden voornamelijk in de eerdere stadia benut, en zijn bedoeld om gedurende het auditproces werk uit handen van de pentesters te nemen door bekende kwetsbaarheden te herkennen.

    Voordelen van geautomatiseerd pentesten

    Ten eerste is de snelheid van de test en de rapportage vele malen hoger, met bijbehorende rapporten die over het algemeen zeer leesbaar zijn. Nadat een test is voltooid, worden rapporten direct opgesteld. Dit is bij handmatig testen niet mogelijk; in sommige gevallen kan het opstellen van rapporten enkele dagen tot weken handmatig werk vergen, met niet te vergeten een paar QA-rondes.

    Dit is tegenwoordig een van de belangrijkste zwakke punten van handmatige pentests – het langdurige proces betekent dat veel rapporten voor levering al verouderd zijn. De cyberomgeving is vaak al meerdere malen bijgewerkt sinds de test, waardoor nieuwe kwetsbaarheden worden geïntroduceerd die er tijdens de initiële pentest nog niet waren. In deze zin is een traditionele pentest eigenlijk een tijdrovende momentopname van de beveiligingsstatus.

    Nadelen van geautomatiseerd pentesten

    Geautomatiseerde pentest tools hebben ook nadelen. Ten eerste begrijpen ze niet hoe webapplicaties in elkaar steken. Hoewel ze iets als een webserver zullen detecteren op het niveau van poorten/services, zullen ze niet begrijpen dat u bijvoorbeeld een Insecure Direct Object Reference (IDOR) kwetsbaarheid hebt in uw interne API, of een Server-Side Request Forgery (SSRF) in een interne webpagina die een menselijke pentester kan gebruiken om verder te spitten.

    In soortgelijke zin vinden geautomatiseerde penetratietesten vaak niet de meer geavanceerde en complexe kwetsbaarheden die getrainde experts wel kunnen herkennen, omdat ze een diepgaande kennis vereisen over hoe netwerken en apps op architectonisch niveau werken. Een ervaren pentester beschikt over de expertise om deze problemen te verhelpen voordat ze geëxploiteerd kunnen worden. Iemand die enkel geautomatiseerde tools gebruikt beschikt niet over de noodzakelijke kennis en ervaring om deze bedreigingen aan te pakken, wat het proces nog moeilijker maakt.

    De gouden pentest formule van Enshore Security

    Hoewel handmatige penetratietests en geautomatiseerde beveiligingstests zeer verschillend zijn, sluiten zij elkaar niet uit. Integendeel, de combinatie van hun sterke punten resulteert in een brede en doeltreffende aanpak van de beveiliging. Enshore Security en haar Cybersecuritypartners combineren de geautomatiseerde scantechnologieën met best-in-class penetratietest expertise om bedrijfslogica en andere dynamische kwetsbaarheden in het netwerk, mobiele, desktop, back-end en Internet of Things (IoT)-toepassingen bloot te leggen. Meer weten over onze werkwijze, en hoe onze Cybersecurity experts uw netwerkbeveiliging kunnen versterken? Neem vrijblijvend contact op met onze experts, zij vertellen u graag meer over onze beveiligingsoplossingen.