Om jouw systemen te beschermen tegen kwaadwillenden is het belangrijk deze zo volledig mogelijk te onderzoeken op kwetsbaarheden. Een efficiënte methode hiervoor is een vulnerability assessment. Hiermee krijg je op een gestructureerde manier inzicht in de veiligheid van alle onderzochte systemen. Bovendien is het onderzoek zeer transparant en herhaalbaar!
Wat is een vulnerability assessment?
Een vulnerability assessment is een uitgebreid onderzoek waarbij kwetsbaarheden in je IT-systemen worden geïdentificeerd en geclassificeerd. Deze systemen kunnen bestaan uit webapplicaties of onderliggende infrastructuur. Een vulnerability assessment onderscheidt zich van een penetration test doordat een vulnerability assessment er niet op is gericht zo diep mogelijk binnen te dringen, maar om je een uitputtend overzicht van alle kwetsbaarheden te geven. Wanneer een vulnerability assessment geen kwetsbaarheden laat zien, weet je dus dat de staat van security van het onderzochte systeem zeer goed is.
Wat doen we bij een vulnerability assessment?
Met een vulnerability assessment controleren we de systemen binnen scope op alle typen kwetsbaarheden die we kennen. Hierbij identificeren we bovendien ‘defence in depth’ items: maatregelen die je kunt treffen om te zorgen voor een hoger beveiligingsniveau. Voor het uitvoeren van dit assessment maken we gebruik van checklists van typen kwetsbaarheden, die we vervolgens handmatig (ondersteund door tools) uitgebreid nagaan op de gehele scope. Hacken blijft creatief mensenwerk, en uiteraard laat onze aanpak daar volop ruimte voor. Door echter wel gebruik te maken van checklists, en de rapportage hier ook op de baseren, krijg je als klant een heel transparante en herhaalbaare test. Bovendien krijg je niet alleen inzicht in je kwetsbaarheden maar ook in de factoren die maken dat bepaalde kwetsbaarheden níet voorkomen.
Wat krijg je na een vulnerability assessment?
Alle bevindingen uit ons onderzoek worden verwerkt in een uitgebreid rapport dat we persoonlijk met jou bespreken. Daarmee krijg je niet alleen een compleet beeld van de kwetsbaarheden die er zijn, maar krijg je ook handvatten om hier direct mee aan de slag te gaan. We schrijven onze adviezen met ontwikkelaars en systeembeheerders als doelgroep, en we gaan niet naar huis voor het iedereen duidelijk is wat er moet gebeuren om de gevonden kwetsbaarheden op te lossen.
Vulnerability assessment versus een pentest
Een vulnerability assessment is niet hetzelfde als een penetration test. Laatstgenoemde wordt vaak uitgevoerd met als enige doel aan te tonen dat de beveiliging te doorbreken is. Bij een een vulnerability assessment worden zoveel mogelijk kwetsbaarheden geïdentificeerd die een aanvaller zou kunnen gebruiken voor een (gerichte) aanval. Dit betekent dat dit onderzoek uitputtend is en een compleet inzicht geeft. Een vulnerability assessment heeft een duidelijk afgebakende scope, meestal een webapplicatie of serverpark. Een pentest daarentegen heeft vaak "de organisatie" als scope, en kan per definitie al niet volledig zijn in het geboden inzicht. Een pentest beantwoordt dan ook een andere security-vraag dan een vulnerability assessment:
