Vrijwel iedere organisatie is tegenwoordig afhankelijk van IT-systemen. Een online retailer kan bijvoorbeeld niet zonder een goed functionerende webshop en een verzekeraar vindt het belangrijk dat klanten online declaraties kunnen indienen. Voor alle online systemen moet er vanzelfsprekend gegarandeerd worden dat deze veilig zijn. Het is echter soms lastig om te bepalen welke maatregelen geschikt zijn en passen binnen het beschikbare budget. Zo kun je met een vulnerability scanner je applicatie laten checken op kwetsbaarheden, maar ook een ethisch hacker een uitgebreid onderzoek laten doen. Beide methoden staan niet op zichzelf en kunnen elkaar zelfs goed aanvullen. Maar wat zijn de voor- en nadelen als je besluit alleen een vulnerability scan in te zetten?
Voordelen van vulnerability scan tools
- Snel resultaat
Het grote voordeel van een (automatische) scan tool is dat het relatief snel resultaat geeft. Daarmee heb je op ieder gewenst moment inzicht. - Herhaalbaar
Een (automatische) vulnerability scan kun je eenvoudig herhalen. Hiermee beslis je zelf of je dagelijks, wekelijks of maandelijks een scan wil draaien en inzicht krijgt in veranderingen en gedetecteerde kwetsbaarheden. - Gebruiksvriendelijk
De meeste vulnerability scan tools hebben een duidelijke interface en zijn daardoor makkelijk in het gebruik. Dit betekent dat de drempel voor onder meer systeembeheerders, laag is om deze te gebruiken. Hierbij moet alleen wel aangemerkt worden dat de resultaten van de tools vrij specialistische details bevatten. Hierdoor is alsnog een security specialist nodig om de bevindingen te interpreteren en actie op te ondernemen. - Constante monitoring
Ook kan een vulnerability scan tool goed ingezet worden voor constante monitoring als er bijvoorbeeld veel deployments worden gedaan. Bovendien biedt het systeembeheerders daarmee continu inzicht in de status van de infrastructuur.
Nadelen van vulnerability scan tools
- Een vulnerability scan tool vindt lang niet alle kwetsbaarheden
Doordat een vulnerability scan tool ook kwetsbaarheden over het hoofd ziet heb je geen garantie dat je systemen niet kwetsbaar zijn. Dit is een van de grootste beperkingen van alle scan tools omdat er alsnog kwetsbaarheden kunnen zijn waar hackers misbruik van kunnen maken. Dit kan twee redenen hebben:
- De scanner is niet op de hoogte van de kwetsbaarheid, bijvoorbeeld omdat deze net ontdekt is.
- De kwetsbaarheid is te complex om gevonden te worden door een automatische tool, omdat de aanval niet triviaal is om te automatiseren. - Constant updates nodig
Om te zorgen dat de meest recente kwetsbaarheden wel gevonden worden moet je zorgen dat de tool continu geüpdatet wordt. - False positives
Zeker met een grote IT-infrastructuur, veel servers en diensten, kan het lastig zijn om te zien wat de impact is van bevindingen/kwetsbaarheden van de scan tool. Hierdoor krijg je vaker te maken met false positives. Als je niet gespecialiseerd bent in security is het een uitdaging deze te herkennen waardoor het interpreteren van de resultaten een tijdrovende klus wordt. Als false positives er bovendien niet uitgefilterd worden, wordt de tool ook niet slimmer en blijft deze valse meldingen geven. - Implicaties van kwetsbaarheid is niet duidelijk
Als er een kwetsbaarheid gevonden wordt, is het soms moeilijk in te schatten wat dit betekent voor de bedrijfsvoering. Wat is de impact voor verschillende afdelingen, medewerkers en processen? Een automatische tool zal dit niet in kaart brengen en een systeembeheerder is doorgaans meer gericht op het technische aspect van de kwetsbaarheid.
Een vulnerability scan tool wordt steeds belangrijker in een IT-landschap waar dagelijks of zelfs vaker deployments worden gedaan en de ontwikkeling van nieuwe toepassingen snel gaat.
Robert Jaakke, Business Unit Director - Detect bij Computest Security
Een vulnerability scan tool is dus voornamelijk handig om grip te krijgen op de staat van je IT-infrastructuur en bijvoorbeeld te signaleren of ontwikkelaars niet per ongeluk een poort hebben opgezet. Dit wordt steeds belangrijker in een IT-landschap waar dagelijks of zelfs vaker deployments worden gedaan en de ontwikkeling van nieuwe toepassingen snel gaat. Zo kan een automatische scanner extra zekerheid bieden op het gebied van security in een CI/CD ontwikkelomgeving.
Hoe los je de nadelen op?
Maar hoe zorg je dat je wel compleet en continu inzicht hebt in kwetsbaarheden in je netwerk? Idealiter zou je ‘the best of both worlds’ moeten inzetten: een (automatische) vulnerability scan en de expertise van een ethisch hacker. Bij Computest hebben we dit gecombineerd in de hybride dienst Marvin_.
Marvin_ voert dagelijks een automatische kwetsbaarheden-scan uit op de gehele infrastructuur en/of de webapplicaties. Hiervoor worden bestaande en bewezen scantechnieken gebruikt en ben je ervan verzekerd dat er ook wordt gemonitord op de nieuwste kwetsbaarheden. Vervolgens bepaalt een van onze security specialisten welke bevindingen relevant zijn en markeert deze in het dashboard. Zo heb je in één oogopslag inzicht in de status van de beveiliging van de omgeving en zie je hoeveel als relevant beoordeelde bedreigingen er in de laatste scan zijn gedetecteerd. Door de handmatige filtering en de expertise van de specialist zijn false positives uitgesloten. Als er een kwetsbaarheid geconstateerd wordt, volgt er bovendien direct advies om deze op te lossen en hoe je de impact hiervan op de gehele organisatie kunt minimaliseren.
De combinatie van menselijke kennis en de infrastructuurscan die Marvin_ biedt, betekent dat hackers vrijwel geen kans hebben om toegang te krijgen tot je omgeving en deze te misbruiken.
Benieuwd hoe andere organisaties gebruikmaken van Marvin_? Lees nu de ervaringen van AFAS Software en Online Betaalplatform met deze hybride dienst.
