De titel van dit blog vat eigenlijk de gesprekken samen die wij regelmatig hebben met onze klanten. Niet dat hen iets te verwijten valt. Het is dan ook heel lastig om te weten wat je nodig hebt als je niet eens echt weet wat er gaande is. Veel bedrijven weten dat ze veiliger te werk moeten, maar waar begin je? En welke dienst past er nou bij hetgeen jij zoekt? En wat is een vulnerability scan? Of kan je toch beter een penetratietest uitvoeren?
Als we dat konden, dan zouden we het doen. Zonder twijfel. Het ‘probleem’ is alleen dat elke situatie in de Cyber Security vraagt om een evenzo unieke aanpak. Althans, zo staan wij van Rootsec erin. Er zijn ongetwijfeld ook concullega’s van ons die gewoon iedereen een penetratietest aanpraten. Dat kan soms een oplossing bieden, maar meer dan regelmatig ook niet. Wij geloven niet in standaardoplossingen, zeker niet in deze markt die constant beweegt en doorontwikkeld. Daarom gaan onze experts altijd eerst de dialoog aan met de klant. Hierbij wordt aan de hand van een aantal onderzoeksvragen een situatieschets gemaakt.
Aan de hand van deze en andere vragen proberen we een zo compleet mogelijk plaatje te schetsen. Dit vergt vaak een wat langere opstartperiode maar wij achten dit noodzakelijk om echt goed ons werk te kunnen doen. Schijnbeveiliging daar houden we niet van. Nu dat er een duidelijke situatieschets is gemaakt gaan onze experts intern met elkaar in overleg. Welke problemen zijn er (mogelijk) aanwezig? Hoe ziet de omgeving van de klant eruit? Welke diensten zijn er nodig om de klant écht te helpen?
Op basis hiervan wordt vervolgens een offerte geschreven. Hierin staat in duidelijk Nederlands beschreven wat wij voorstellen om te gaan doen. Natuurlijk leggen we ook per onderdeel uit waarom dit juist zo belangrijk is voor de klant. Dit kan echter van alles zijn, en dat is de essentie van deze blog. We komen zelden klanten tegen voor het eerst die precies weten wat ze nodig hebben. En ook al denken ze dat wel te weten, zullen wij alsnog een situatieschets opstellen. Want zelfs zij vragen nog wel eens ‘Wat is een vulnerability scan?.’
Dit is wederom compleet afhankelijk van de conclusies van onze security-experts. In het geval het echt van belang is om inzichten te verkrijgen dan zal er begonnen worden met een vulnerability scan. Dit is een scan die heel duidelijk weergeeft waar er kwetsbaarheden in het systeem (kunnen) zitten. Daarnaast brengt een vulnerability-scan ook heel duidelijk in kaart hoe het IT-landschap eruit ziet. Op die manier worden mogelijke doelwitten zichtbaar gemaakt en wordt snel duidelijk welke computers, servers of systemen voor een hacker interessant zijn. De resultaten van deze scan worden gerapporteerd aan de klant en die kan vervolgens aan de slag met het oplossen van de gevonden problematiek. Een scan is dus heel handig voor bedrijven die inzicht willen maar vervolgens zelf intern de boel willen oppakken. (Nu heb je voor altijd het antwoord op de vraag: ‘Wat is een vulnerability scan’ !)
Dit is heel anders bij vulnerability management. Hierbij wordt er eerst eenzelfde scan uitgevoerd als hierboven maar komt er nog een flink stuk management (consultancy) bovenop. Dat wil zeggen dat onze experts samen met u naar de resultaten van de scan kijken en dit bespreken. We geven u gedegen advies, en een uitgebreid rapport, over wat er met welke prioriteit moet worden aangepakt. Daarnaast geven we ook per bevinding aan hóe dit het best gedaan kan worden. Het werk wordt nog steeds intern opgepakt en uitgevoerd, maar dan wel met begeleiding van IT-security experts met veel ervaring. Nadat de kwetsbaarheden zijn opgelost voeren wij een herscan uit en ook deze resultaten bespreken we met de klant. Zo weet je zeker dat de genomen maatregelen ook echt hun vruchten hebben afgeworpen.
Wat een penetratietest met dit alles te maken heeft? Eigenlijk heel simpel. Een vulnerability scan / management oplossing geeft aan waar potentiële kwetsbaarheden zich bevinden. Dat is goed om te weten. Sterker nog, dit is enorm waardevolle informatie. Maar daar blijft het ook bij. Een penetratietest gaat echt een stap verder. Tijdens zo’n test gaat een ethisch hacker kijken of deze kwetsbaarheden echt uit te buiten zijn. En, indien dat inderdaad het geval is, wat is er dan mogelijk voor deze legale hacker? Kan het hele systeem worden overgenomen? Of kan er enkel wat data worden ingezien?
Een penetratietester achterhaalt dus niet enkel de gebreken van de aanwezige beveiliging maar gaat deze (in overleg) actief aanvallen. De klant krijgt vervolgens een zeer uitgebreid rapport met alle gevonden kwetsbaarheden, wat we in staat waren om te doen (te bemachtigen / achterhalen) en ook hoe gemakkelijk dit voor een hacker is om te doen. Dit rapport bevat ook een managementsamenvatting in begrijpelijk Nederlands welke de situatie duidelijk omschrijft. Natuurlijk worden alle bevindingen ook aangevuld met de noodzakelijke informatie zoals waar de kwetsbaarheid zich bevindt, hoe deze is ontstaan en hoe het op te lossen is. We geven de klant ook een beoordeling. Deze loopt van ‘kritiek’ tot ‘sterk’. Heb je de zaken goed voor elkaar dan zal je omgeving als sterk worden beoordeeld en kan je dit vol trots laten zien aan klanten en eventuele auditors. In het geval van kritiek begeef je je op heel dun ijs en moet je per-direct stappen ondernemen.
In dit geval is er niks het best maar is alles goed. Ofwel, het hangt volledig af van de situatie bij uw organisatie. Wat wilt u getest hebben en in hoeverre wilt u daar begeleiding in? Wilt u zeker weten dat een aanvaller u (bijna) geen kwaad kan doen, dan is een penetratietest vaak de beste oplossing. Wilt u een snelle scan om inzichtelijk te krijgen wat de huidige status is om vanuit daar verder te kijken? Dan is een vulnerability scan de oplossing. En wilt profiteren van onze kennis en ervaring na het uitvoeren van de scan? In dat geval raden wij u vulnerability management aan.
Maar goed, zoals de blog al begon, veel klanten hebben hier geen idee van. En dat is helemaal prima. Sterker nog, daar gaan we vanuit. Heeft u nou ook geen idee hoe u ervoor staat of wat u moet doen? Dan helpen wij u graag verder! We gaan graag de dialoog met u aan en daarna zien we wel wat er nodig is. Deal? Neem vandaag nog contact met ons op voor een vrijblijvend gesprek.
Automated page speed optimizations for fast site performance