Ben je je aan het verdiepen in securitytesten? Dan vliegen de technische termen je snel om de oren. Wat is nou eigenlijk een Pentest en wat is Red Teaming? En, misschien nog wel belangrijker, wanneer kies je het ene of het andere? Daar geven wij antwoord op.
Maar eerst...
De meeste mensen hebben het vaak over een Pentest, maar bedoelen eigenlijk een Vulnerability Assessment. Het precieze verschil tussen deze twee is een lang, en nogal saai, verhaal. Daar zullen we je dus ook niet mee vervelen. In de praktijk is onze dienst een Vulnerability Assessment, daarom geven we de voorkeur aan deze term. Maar, voel je vrij om hier Pentest te lezen.
Wat is een Vulnerability Assessment?
Bij een Vulnerability Assessment wordt eerst een scope bepaald. We gaan dus niet zomaar alles onderzoeken, maar richten ons op wat écht belangrijk voor je is. Dit kan bijvoorbeeld een webapplicatie zijn, een mobiele app of IoT-apparaat.
- Wat is het doel van een Vulnerability Assessment?
Binnen de scope kwetsbaarheden identificeren. We willen de onderste steen boven krijgen. Als we kwetsbaarheden vinden stoppen we niet met zoeken, maar gaan we door met het onderzoeken van de rest van de scope. En we houden ons niet alleen bezig met kwetsbaarheden met een grote impact, maar ook met kleinere issues. Want als je ook die problemen aanpakt, kan je je weerbaarheid vergroten.
- Hoe maken we een Vulnerability Assessment tot een groot succes?
Om te zorgen dat we ons werk zo efficiënt mogelijk kunnen uitvoeren hebben we jullie nodig! In de voorbereidingsfase vragen we doorgaans om documentatie, gebruikersaccounts en indien mogelijk de broncode. Hiermee kunnen we in zo kort mogelijke tijd een volledig beeld vormen van het beveiligingsniveau.
- Wat merk je van een Vulnerability Assessment?
In principe is iedereen bij de klant op de hoogte van de Vulnerability Assessment. We gaan niet ‘ondergronds’. Het is niet ons doel om onopgemerkt te blijven. Dus, als de omgeving actief gemonitord wordt door een SOC, gaan alle alarmbellen af als we ergens binnenkomen.
- Wat levert een Vulnerability Assessment jullie op?
Aan het einde van het onderzoek leveren we een rapport op waarin we alle gevonden kwetsbaarheden en verbeterpunten beschrijven. Hiermee krijg je in één klap het overzicht van het beveiligingsniveau van de onderzochte scope.
Wat is Red Teaming?
Bij Red Teaming simuleren we een echte aanval. In tegen stelling tot bij een Vulnerability Assessment proberen we hier dus wel onopgemerkt te blijven. Net zoals een kwaadwillende hacker. Uiteraard gaan we niet ongevraagd overal in zitten wroeten. Voorafgaand aan de opdracht spreken we af wat wel en niet in de scope ligt. Mogen we bijvoorbeeld ook medewerkers phishingmails versturen of fysiek een pand binnendringen?
- Wat is het doel van Red Teaming?
We onderzoeken hoe een organisatie zou reageren op een echte aanval. Hoelang kan een aanvaller onopgemerkt blijven en als deze dan wordt ontdekt, hoe reageert de organisatie hier dan op? Worden signalen bijvoorbeeld genegeerd of breekt er juist paniek uit? Door een Red Teaming aanval weet je precies hoe je ervoor staat als er echt een aanval plaatsvindt.
- Hoe maken we een Red Teaming opdracht tot een groot succes?
We gaan op zoek naar kwetsbaarheden in alle systemen van de organisatie (ten minste, alles waar we toestemming voor hebben). Als we een kwetsbaarheid gevonden hebben, proberen we deze te gebruiken om dieper het netwerk binnen te dringen. We blijven dus niet zoeken naar eventuele andere kwetsbaarheden. Een hacker gaat namelijk ook dieper (en niet verder) graven als deze ‘beet’ heeft, dus doen wij dat ook.
- Wat merk je van een Red Teaming opdracht?
Bij een Red Teaming onderzoek zijn er maar weinig mensen binnen de organisatie op de hoogte van de opdracht. We willen namelijk een zo realistisch mogelijk scenario creëren. Dat gaat natuurlijk niet als Piet van finance en Tom van HR ook op de hoogte zijn.
- Wat levert een Red Teaming opdracht jullie op?
Aan het einde van het onderzoek leveren we een rapport op waarin we alle genomen stappen en hun uitkomst beschrijven. Tijdens een presentatie leggen we onze acties naast die van jullie interne securityteam (het blue team). Want zijn we wel echt onder de radar gebleven? Daar gaan we achter komen. Welke acties heeft het blue team gedetecteerd en hoe is hier vervolgens op gereageerd. Maar, misschien nog interessanter… Welke acties zijn onopgemerkt gebleven? Zo kom je erachter welke maatregelen je moet nemen om deze acties voortaan wel te detecteren.
Belangrijke opmerking:
Een Red Teaming rapportage geeft inzicht in welke acties er zijn ondernomen. Een rapport met weinig kwetsbaarheden wil niet zeggen dat er niet meer kwetsbaarheden te vinden zijn. Het kan zo zijn dat ons Red Team maar een paar kwetsbaarheden nodig had om toegang te krijgen. En zoals we al zeiden, graven we dan dieper en niet per se verder. Daarnaast is een Red Teaming onderzoek altijd afhankelijk van omgevingsfactoren. Zo kan het zijn dat ons Red Team pech had dat niemand in onze phishingmail trapte, terwijl bij een eventueel vervolgonderzoek dit wel gebeurt.
Wanneer kies ik het beste voor een Vulnerability Assessment, en wanneer voor Red Teaming?
Je kiest voor een Vulnerability Assessment wanneer:
- Je wilt weten hoe veilig je applicatie is. Bij een Vulnerability Assessment gaan we op zoek naar alle risicogebieden van je applicatie en ontvang je een rapport met oplossingsrichtingen. Super concreet, praktisch en overzichtelijk.
- Jouw organisatie nog niet alle gewenste beveiligingsmaatregelen heeft getroffen of bezig is met het verkrijgen van inzicht in securityrisico’s.
Je kiest voor Red Teaming wanneer:
- Je wilt weten hoe jouw organisatie reageert op een echte aanval. En wat de blinde vlekken zijn in je beveiliging.
- Jouw organisatie al wat verder is op het gebied van cybersecurity. Er moet bijvoorbeeld een blue team zijn. Anders is de kans vrij groot dat we gewoon ons gang kunnen gaan en niet gedetecteerd worden.
Kortom:
Wil je inzicht in welke risico’s je loopt met een bepaalde applicatie, kies dan voor een Vulnerability Assessment. Denk je dat je applicaties goed beveiligd zijn, maar ben je benieuwd hoe je ervoor staat bij een echte aanval? Kies dan voor Red Teaming.
Lees ook onze andere blogs over de Pentest:
Welk inzicht geeft een Pentest mij?
Wat is de doorlooptijd van een Pentest?
Ik wil een Pentest laten uitvoeren, wat kan ik verwachten?
Wat moet ik regelen voor een Pentest?
