Criminelen breken niet alleen in via deuren en ramen. Tegenwoordig is het ook de digitale wereld waar ze hun vizier op hebben. Het uitvoeren van een grondig beveiligingsonderzoek door een ethische hacker die de zwakke punten in de beveiliging van een bedrijf of organisatie vastlegt, kan veel ellende voorkomen.
Leestijd: 3,5 minuten
Paul Derksen is security consultant bij Motiv, ICT Security specialist op het gebied van informatievoorziening en informatiebeveiliging. Derksen houdt zich bezig met security monitoring, inbraakdetectie, ethical hacking en digitaal forensisch onderzoek. Op de vraag hoe veilig bedrijven en organisaties in Nederland wel of niet zijn, zegt hij: “Meten is weten. Wil je iets kunnen zeggen over het risico dat een organisatie loopt, dan dien je daar een thermometer in te houden. Wat geeft die thermometer aan in Nederland? Elke sector kent zijn risico’s. Elke sector heeft ook zijn belangen. Neem je het grote geheel, dan merk ik dat veel organisaties worstelen met de technische ontwikkelingen die zich in een rap tempo aandienen. Wat moeten ze er mee? Welke risico’s kleven er aan? De moeilijkheid zit vooral in de vertaling van de technische ontwikkelingen naar de organisatie.”
>> Lees ook Cybercrime, cybersecurity en cyversloomheid
>> Lees ook ‘Cybersecurity is óók mensenwerk’
Ethische hacker
Concreet gezien, waar liggen dan de pijnpunten voor organisaties? Derksen: “Een nijpende is het gevoerde versiebeleid, oftewel patch management. Het is van belang software tijdig en op gecontroleerde wijze door te voeren op de infrastructuur. Dit is een precair proces; het moet getest en geaccepteerd worden. Mocht het toch fout gaan, hoe ga je dan in versie terug? Tweede punt is het adequaat en veilig toepassen van informatieversleuteling. Vaak zien we hierin zwakke schakels die het niveau van beveiliging ondermijnen. Bij het inloggen op een webapplicatie of bij vertrouwelijke informatie bijvoorbeeld is een hoog niveau van informatieversleuteling noodzakelijk. Als derde noem ik inbraakdetectie en monitoring. Het is belangrijk om op applicatie-, systeem- of op netwerkniveau te kijken naar patronen, die kunnen duiden op verdacht handelen. Deze zichtbaar en acteerbaar maken voordat er schade aan de infrastructuur wordt aangebracht. Denk aan communicaties tussen systemen, die eigenlijk nooit voorkomen of een grote hoeveelheid data die ‘ineens’ naar een internetsite gaat.”
Het is belangrijk om op applicatie-, systeem- of op netwerkniveau te kijken naar patronen
Beveiligingsonderzoek
Steeds meer bedrijven zijn slachtoffer van datalekken. Cybercriminelen dringen het netwerk binnen en krijgen direct toegang tot informatie van klanten en gebruikers, vaak persoonsgegevens. Of het netwerk ligt compleet stil. Doordat organisaties miljoenen verliezen door cybercrime, komt het onderwerp en daarmee het uitvoeren van een beveiligingsonderzoek steeds vaker bovenaan de agenda te staan.
Een beveiligingsonderzoek begint bij de pre sale. Derksen: “We gaan in gesprek met de klant over de infrastructuur. Waar maakt de organisatie zich zorgen over en waar wil het meer van weten? Ook onderzoeken we de kwetsbaarheden in relatie tot de toegang tot gevoelige data. Vervolgens starten we het project waarin we nogmaals de scope doorlopen. Vervolgens voeren we een extern en/of intern onderzoek uit. We doen analyses en proberen zoveel mogelijk data los te weken omtrent de onderzoeksinfrastructuur. Let wel, alvorens te beginnen met testen, hebben we een vrijwaringverklaring nodig. De klant verklaart hiermee akkoord te zijn met het binnendringen of onderzoeken van zijn systeem door een beveiligingsonderzoeker.”
Het beveiligingsonderzoek kent vaak twee soorten testen: een black box en een white box test. Derksen: “Bij een black box test gaan we zonder informatie aan de slag. We hebben als het ware alleen de klantnaam. Het idee erachter is, dat een eventuele aanvaller niet direct een blauwdruk heeft van de organisatie. Doorgaans vragen wij de klant om zoveel mogelijk white box te doen, waarbij we volledig inzicht krijgen in de architectuur. Black box kost vaak alleen maar tijd en daarmee geld. Op een gegeven moment komen wij toch wel achter de in eerste instantie niet gegeven informatie.”
Risicoberekening
Derksen vervolgt: “Is het onderzoek afgerond, dan gaan we de rapportagefase in. Alle verkregen resultaten worden in een rapport gepubliceerd volgens een standaardindeling, bestaande uit vijf hoofdstukken: (1) algemene introductie met de aanleiding van het onderzoek, doelstelling, randvoorwaarden en de ingezette middelen, (2) de methodiek van onze aanpak, (3) conclusies uit het onderzoek op managementniveau, (4) gedetailleerde risicoberekening op basis van de onderzoeksresultaten, en (5) overzicht van de technische bevindingen. En op verzoek van de klant kunnen we maatwerkcomponenten toevoegen.”
Na het grondig bespreken van het rapport met de klant en indien gewenst het verzorgen van een eindpresentatie op technisch en/of managementvlak, is het aan de klant zelf hoe hij zijn beveiliging aan wil pakken en met wie. Derksen: “Als beveiligingsonderzoeker en vaktechneut ben ik blij als de klant naar aanleiding van het onderzoek een top drie maakt van items die hij op gaat pakken. Dan is mijn missie geslaagd.”
Het beveiligingsonderzoek is afgerond. De klant gaat aan de slag. Zijn de actiepunten afgewerkt, dan is het bedrijf safe. Nee, zo werkt het niet volgens Derksen. “Het onderzoek is en blijft een momentopname. We raden aan minimaal een keer per jaar een dergelijk onderzoek te doen. Vinden er binnen de infrastructuur van de klant grote wijzigingen plaats, dan raden we zelfs een extra onderzoek aan, weliswaar gekaderd. Overheidsinstellingen zijn overigens verplicht om minimaal een keer per jaar een beveiligingsonderzoek uit te voeren. Iedere organisatie die een koppeling met DigiD heeft, moet ook aan deze wettelijke verplichting voldoen.”
Overheidsinstellingen zijn verplicht om minimaal een keer per jaar een beveiligingsonderzoek uit te voeren
Uitdagingen
Op de vraag waar voor Derksen de uitdagingen liggen in het beveiligingsonderzoek, antwoordt hij: “Ik ben in een productieomgeving bezig. Het gecontroleerd en voorzichtig testen is dan heel belangrijk. Ik wil gebruikers, transacties en communicatiestromen zo min mogelijk frustreren. Een ander punt is, dat webapplicaties soms best groot kunnen zijn. Applicaties, die ook weer afhankelijkheden hebben omdat ze met andere applicaties gekoppeld zijn. Een tijdje geleden kwam ik een webapplicatie tegen die uit 300.000 pagina’s bestond. Voor het testen daarvan had ik wel wat tijd nodig. Ook vind ik het een uitdaging dat ik nooit klaar ben met het bestuderen van methodieken, aanvallen en kwetsbaarheden en vervolgens het bekijken wat daar mee te doen. En tot slot, wat is er nu leuker dan de techniek zo simpel mogelijk aan de klant uit te leggen en te relateren aan de organisatie? Het is interessant de kant van de onderzoeker te bekijken. Maar om hem draait het uiteindelijk niet. Het gaat om bedrijven en organisaties. Zijn zij bereid de deuren voor onderzoek open te stellen en daarna de pijnpunten aan te pakken, dan is het heel goed mogelijk dat die deuren voor criminelen gesloten blijven.”
Dit artikel verscheen in Security Management 11/ 2015