Start today, secure tomorrow.

Non-stop pentesting: van momentopname naar continue controle

By Barry Nov 13, 2014

Al jaren worden wij door klanten gevraagd om pentests uit te voeren en doorgaans is onze eerste reactie: “Een pentest is niet wat je wilt.” Nu klinkt dit nogal stellig, maar de achterliggende gedachte is deze:
Een pentest is een momentopname, een poging om de zwakste schakel in de infrastructuur te vinden en daar vervolgens binnen te dringen. Het draait daarbij om de maximale impact van het uitbuiten van deze zwakheden. En als ik eerlijk ben: daar zijn wij goed in.
Natuurlijk voeren we met regelmaat pentests uit, ook vanuit compliance doeleinden, maar we komen er met de klant steeds vaker achter wat de echte behoefte is en waarom een pentest niet voldoet.

Een pentest levert een indicatie van hoe goed je zaken op orde zijn. De diepgang van deze test wordt bepaald door de kwaliteiten van de pentester en de tijd die hij mag besteden aan de aanval; 99% van de omgevingen is te hacken mits je maar voldoende kennis en (doorloop)tijd hebt. Het resultaat van een pentest? Een rapport van de binnen een bepaalde tijd en inspanning gevonden kwetsbaarheden. Geeft dit nachtrust? Naar mijn mening niet op de lange termijn. Ik denk dat je rustiger slaapt als je weet dat dit een maand later nog steeds gecontroleerd wordt.

Security draait om een goede balans tussen ‘normale’ beheer inspanning, een gedegen infrastructuur, een voldoende voorbereide organisatie en, niet te vergeten, iemand die de organisatie scherp houdt met actuele zaken vanuit een offensief perspectief. The S-Unit is al jaren bezig op dit vlak. Goed contact houden met de offensieve security wereld, onderdeel zijn van de community en dit combineren met de behoeften van het bedrijfsleven zijn essentieel om passend advies te kunnen geven met het oog op de toekomst. Zeker nu kwaadwillenden een steeds betere business case hebben om bedrijven aan te vallen.

Het is daarom verstandig om je eigen organisatie van een andere kant te leren kennen met behulp van een team offensieve specialisten. Deze zijn bekend met de vijandige markt en kunnen je de zienswijze van een mogelijke aanvaller voorhouden.
Wij krijgen steeds vaker de opdracht om organisaties te voorzien van deze informatie, en met succes. Inmiddels is er een aantal klanten die door ons op reguliere basis getest worden. Deze inspanning gaat de komende tijd geïntensiveerd worden in de vorm van non-stop pentesting. Non-stop pentesting is dé mogelijkheid om het eenmalige karakter van de pentest aan te passen, zodat omgevingen non-stop gecontroleerd worden op kwetsbaarheid voor actuele dreigingen. Hiermee wordt de test niet alleen van continue aard maar diens scope geactualiseerd naar de dreigingen van dat moment.

Bent u geïnteresseerd in het structureel aanpakken van security in uw organisatie, neem dan contact op met onze offensieve experts.

Security Pentesting Hacken