Penetratietesten zijn een belangrijke manier om uw informatie veilig te houden, maar velen van ons maken er nogal wat valse aannames over.
Kwetsbaarheden in uw computersystemen zijn niet noodzakelijkerwijs problematisch totdat indringers ze ontdekken en misbruiken. Als je een cultuur cultiveert van het identificeren van mazen in de wet vóór bedreigingsactoren, kun je ze oplossen, zodat ze geen significante schade aanrichten. Dit is de kans die penetratietesten u bieden.
Maar er zijn meer dan een paar mythen rond penetratietesten die u ervan kunnen weerhouden stappen te ondernemen om uw beveiliging te verbeteren.
1. Penetratietesten zijn alleen voor organisaties
Er is een idee dat penetratietesten een activiteit is voor organisaties, niet voor individuen. Het begrijpen van het doel van een pentest is de sleutel om dit te verduidelijken. Het eindspel van de test is het beveiligen van gegevens. Organisaties zijn niet de enigen met gevoelige gegevens. Alledaagse mensen hebben ook gevoelige gegevens zoals bankgegevens, creditcardgegevens, medische dossiers, enz.
Als u als persoon geen kwetsbaarheden in uw systeem of account identificeert, zullen bedreigingsactoren deze misbruiken om toegang te krijgen tot uw gegevens en deze tegen u te gebruiken. Ze zouden het kunnen gebruiken als aas voor ransomware-aanvallen waarbij ze eisen dat u een vast bedrag betaalt voordat de toegang tot u wordt hersteld.
2. Penetratietesten zijn strikt genomen een proactieve maatregel
Het idee om bedreigingen in een systeem te ontdekken vóór indringers, geeft aan dat penetratietesten dat wel zijn een proactieve beveiligingsmaatregel, maar dat is niet altijd het geval. Het kan soms reactief zijn, vooral wanneer u een cyberaanval onderzoekt.
Na een aanval kun je een pentest uitvoeren om inzicht te krijgen in de aard van de aanval om deze goed aan te pakken. Door te ontdekken hoe het incident is gebeurd, welke technieken zijn gebruikt en welke gegevens zijn gericht, kunt u voorkomen dat het opnieuw gebeurt door de hiaten te dichten.
3. Penetratietesten is een andere naam voor het scannen van kwetsbaarheden
Aangezien zowel penetratietesten als kwetsbaarheidsscans betrekking hebben op het identificeren van bedreigingsvectoren, gebruiken mensen ze vaak door elkaar, in de veronderstelling dat ze hetzelfde zijn.
Het scannen van kwetsbaarheden is een geautomatiseerd proces van het identificeren van vastgestelde kwetsbaarheden in een systeem. U somt mogelijke fouten op en scant uw systeem om hun aanwezigheid en impact op uw systeem te bepalen. Penetratietesten, aan de andere kant, gaat over het uitwerpen van uw aanvalsnetten over uw hele systeem op dezelfde manier als een cybercrimineel zou doen, in de hoop zwakke schakels te identificeren. In tegenstelling tot het scannen op kwetsbaarheden, heb je geen vooraf bepaalde lijst met bedreigingen waar je op moet letten, maar probeer je al het mogelijke.
4. Penetratietesten kunnen volledig worden geautomatiseerd
Het automatiseren van penetratietesten lijkt in theorie goed, maar is in werkelijkheid vergezocht. Wanneer u een pentest automatiseert, voert u een kwetsbaarheidsscan uit. Het systeem heeft mogelijk niet de capaciteit om de problemen op te lossen.
Penetratietesten vereisen menselijke input. Je moet brainstormen over mogelijke manieren om bedreigingen te identificeren, zelfs als het lijkt alsof er aan de oppervlakte geen bestaat. U moet uw kennis van ethisch hacken op de proef stellen en alle beschikbare technieken gebruiken om in te breken in de veiligste delen van uw netwerk, net zoals een hacker dat zou doen. En als je kwetsbaarheden identificeert, zoek je naar manieren om ze aan te pakken, zodat ze niet meer bestaan.
5. Penetratietesten zijn te duur
Het uitvoeren van penetratietesten vereist zowel menselijke als technische middelen. Degene die de test uitvoert, moet zeer bekwaam zijn, en dergelijke vaardigheden zijn niet goedkoop. Ze moeten ook over het nodige gereedschap beschikken. Hoewel deze bronnen misschien niet gemakkelijk toegankelijk zijn, zijn ze de waarde waard die ze bieden bij het voorkomen van bedreigingen.
De kosten van investeren in penetratietesten vallen in het niet bij de financiële schade van cyberaanvallen. Sommige datasets zijn onbetaalbaar. Wanneer dreigingsactoren ze blootleggen, zijn de gevolgen financieel niet te meten. Ze kunnen uw reputatie onherstelbaar ruïneren.
Als hackers tijdens een aanval geld van je willen afpersen, eisen ze grote bedragen die meestal hoger zijn dan je pentestbudget.
6. Penetratietesten kunnen alleen door buitenstaanders worden uitgevoerd
Er bestaat een lang bestaande mythe dat penetratietesten het meest effectief zijn wanneer ze worden uitgevoerd door externe partijen dan interne partijen. Dit komt omdat extern personeel objectiever zal zijn omdat ze geen band hebben met het systeem.
Hoewel objectiviteit de sleutel is in de validiteit van de test, betekent het hebben van een band met een systeem niet bepaald dat iemand onobjectief is. Een penetratietest bestaat uit standaardprocedures en prestatiestatistieken. Als de tester de richtlijnen volgt, zijn de resultaten geldig.
Bovendien kan het een voordeel zijn om bekend te zijn met een systeem, omdat je bekend bent met tribale kennis die je zal helpen om beter door het systeem te navigeren. De nadruk moet niet liggen op het krijgen van een externe of interne tester, maar op iemand die de vaardigheden heeft om goed werk te leveren.
7. Penetratietesten moeten af en toe worden uitgevoerd
Sommige mensen voeren liever af en toe een penetratietest uit omdat ze denken dat de impact van hun test langdurig is. Dit is contraproductief gezien de volatiliteit van cyberspace.
Cybercriminelen werken de klok rond op zoek naar kwetsbaarheden in systemen om te onderzoeken. Met lange intervallen tussen je pentest hebben ze voldoende tijd om nieuwe mazen in de wet te verkennen die je misschien niet kent.
U hoeft niet om de dag een penetratietest uit te voeren. De juiste balans zou zijn om het regelmatig te doen, binnen enkele maanden. Dit is voldoende, vooral wanneer u andere beveiligingsmechanismen ter plaatse hebt om u op de hoogte te stellen van dreigingsvectoren, zelfs als u er niet actief naar op zoek bent.
8. Bij penetratietesten draait alles om het vinden van technische kwetsbaarheden
Er bestaat een misvatting dat penetratietesten zich richten op de technische kwetsbaarheden in systemen. Dit is begrijpelijk omdat de eindpunten waarmee indringers toegang krijgen tot systemen technisch zijn, maar er zijn ook enkele niet-technische elementen.
Neem bijvoorbeeld social engineering. Een cybercrimineel zou dat kunnen gebruik social engineering-technieken om u te verleiden uw inloggegevens en andere gevoelige informatie over uw account of systeem vrij te geven. Een grondige pentest zal ook niet-technische gebieden verkennen om de kans te bepalen dat u er het slachtoffer van wordt.
9. Alle penetratietesten zijn hetzelfde
Mensen hebben de neiging om te concluderen dat alle penetratietesten hetzelfde zijn, vooral als ze kijken naar de kosten. Je zou kunnen besluiten om voor een goedkopere testaanbieder te gaan om kosten te besparen, in de overtuiging dat hun service net zo goed is als een duurdere, maar dat is niet waar.
Zoals bij de meeste services, heeft penetratietesten verschillende gradaties. U kunt een uitgebreide test uitvoeren die alle delen van uw netwerk bestrijkt en een niet-uitgebreide test die een paar delen van uw netwerk vastlegt. Het is het beste om u te concentreren op de waarde die u uit de test haalt en niet op de kosten.
10. Een schone test betekent dat alles in orde is
Een schoon testresultaat van uw test is een goed teken, maar dat zou u niet zelfgenoegzaam moeten maken over uw cyberbeveiliging. Zolang uw systeem operationeel is, is het kwetsbaar voor nieuwe bedreigingen. Een schoon resultaat zou u in ieder geval moeten motiveren om uw beveiliging te verdubbelen. Voer regelmatig een penetratietest uit om opkomende bedreigingen op te lossen en een bedreigingsvrij systeem te behouden.
Krijg volledige zichtbaarheid van het netwerk met penetratietesten
Penetratietesten geven u unieke inzichten in uw netwerk. Als netwerkeigenaar of -beheerder ziet u uw netwerk anders dan hoe een indringer het ziet, waardoor u bepaalde informatie mist waar zij mogelijk toegang toe hebben. Maar met de test kunt u uw netwerk bekijken vanuit de lens van een hacker, waardoor u volledig inzicht krijgt in alle aspecten, inclusief dreigingsvectoren die zich normaal gesproken in uw blinde vlekken zouden bevinden.
