Datalekken leiden tot aanzienlijke financiële verliezen voor bedrijven. Volgens IBM, bedroeg de gemiddelde schade door datalekken in 2020 $3,86 miljoen. De helft van deze incidenten werd veroorzaakt door cyberaanvallen.
Bedrijven kunnen datalekken voorkomen door penetratietests uit te voeren, omdat het aanvalssimulatie omvat bovenop andere technieken. Penetration testing (pentest) stelt bedrijven in staat om bestaande kwetsbaarheden in hun IT-infrastructuur te identificeren en mogelijke schade te beoordelen die kan worden veroorzaakt door een aanval.
Professionele penetratietesters volg door de industrie goedgekeurde methoden en normen. De vijf meest populaire en gerenommeerde zijn de OSSTMM, de NIST SP800-115, de OWASP, de ISSAF en de PTES. Hoewel elk van deze technisch genoeg is om een pentest uit te voeren, geven ervaren auditbedrijven er de voorkeur aan er meerdere tegelijk te gebruiken. De exacte keuze hangt af van de specifieke kenmerken van het bedrijf dat wordt gecontroleerd, zoals zijn bedrijfs-en informatiebeveiligingsprocessen.
Laten we elk van de 5 methodologieën en normen nader bekijken.
Penetration Testing
OSSTMM
De Open Source Security Testing Methodology Manual (OSSTMM) is een van de meest populaire teststandaarden. Het is ontwikkeld door het Institute for Security and Open Methodologies (ISECOM).
De OSSTMM biedt een gedetailleerd testplan, metrics voor het beoordelen van het huidige beveiligingsniveau en aanbevelingen voor het schrijven van een eindrapport. De makers van OSSTMM garanderen dat elke test die volgens de OSSTMM wordt uitgevoerd, gedetailleerd en uitgebreid zal zijn en dat de resultaten ervan meetbaar en op feiten gebaseerd zullen zijn.
De OSSTMM stelt vijf hoofdkanalen of richtingen voor voor het testen van de operationele veiligheid. Het opsplitsen in kanalen maakt testen eenvoudiger en laat testers het beveiligingsniveau van een bedrijf op een meer uitgebreide manier beoordelen.
Menselijke veiligheid. Het veiligheidsaspect dat betrekking heeft op directe fysieke of psychologische interacties tussen mensen.
Fysieke beveiliging. Elk materieel (niet-elektronisch) beveiligingselement dat fysiek of elektromechanisch wordt bediend.
Draadloze communicatie. De beveiliging van alle draadloze communicatie en apparaten, van Wi-Fi tot infraroodsensoren.
Telecommunicatie. Analoge en / of digitale telecommunicatie. Dit kanaal heeft vooral betrekking op telefonie en de overdracht van interne informatie via telefoonlijnen.
Datanetwerk. De beveiliging van interne en externe bedrijfsnetwerken, internetverbindingen en netwerkapparaten.
De OSSTMM is een universele standaard, wat betekent dat het een basis kan vormen voor het uitvoeren van elke penetratietest. Testers kunnen vertrouwen op OSSTMM-richtlijnen bij het afstemmen van het beveiligingsbeoordelingsproces op een specifieke klant, zodat rekening wordt gehouden met de bedrijfsprocessen en technologie-en industriespecificaties.
NIST SP800-115
NIST Special Publications de 800-serie is een informatiebeveiligingsstandaard die is ontwikkeld door het National Institute of Standards and Technology. De speciale publicatie SP 800-115 beschrijft de Algemene penetratietestprocedure en de technische aspecten van het beoordelen van het informatiebeveiligingsniveau van een bedrijf. Het bevat ook aanbevelingen voor het analyseren van de testresultaten en het ontwikkelen van maatregelen om veiligheidsrisico ‘ s te verminderen. De laatste versie van dit document richt zich specifiek op het verminderen van cyberaanvalrisico ‘ s.
De NIST SP800-115 is een technische handleiding die kan worden gebruikt voor het beoordelen van informatiebeveiliging in bedrijven in verschillende sectoren, waaronder financiën en IT. Het gebruik van deze pentest-methode wordt door professionele auditbedrijven als verplicht beschouwd.
De NIST SP800-115 omvat onder andere:
- inspectiemethoden-het beoordelen van documentatie, logs, regelsets en systeemconfiguraties, het snuiven van het netwerk, het controleren van de bestandsintegriteit;
- methoden voor het beoordelen van routinematig gerichte kwetsbaarheden-wachtwoord kraken, social engineering, pentests;
- het organiseren van de beveiligingsbeoordeling zelf-coördinatie, gegevensverwerking, analyse en evaluatie;
- acties die moeten worden ondernomen nadat de beoordeling is voltooid-aanbevelingen voor het verminderen van risico ‘ s, het opstellen van het beoordelingsrapport, het oplossen van kwetsbaarheden.
OWASP
Het Open Web Application Security Project (OWASP) is een open online community die de meest uitgebreide methodologie biedt voor het testen van applicaties, websites en API ‘ s. OWASP-documentatie is nuttig voor elk IT-bedrijf dat veilige software wil ontwikkelen.
Deze documentatie omvat::
OWASP Top 10. Een document dat de meest voorkomende kwetsbaarheden in web-en mobiele applicaties, IoT-apparaten en API ‘ s beschrijft. De bedreigingen worden geordend op basis van hun complexiteit en impact op bedrijven.
OWASP Testing Guide. Een bron die verschillende technieken bevat voor het testen van de beveiliging van webtoepassingen. Bevat ook voorbeelden uit het echte leven.
OWASP Developer Guide. Een gids met aanbevelingen voor het ontwikkelen van veilige en betrouwbare code.
OWASP Code Review. Een handleiding die kan worden gebruikt door webontwikkelaars en productmanagers. Het biedt effectieve methoden voor het testen van bestaande codebeveiliging.
Een van de belangrijkste voordelen van de OWASP is dat het testen beschrijft in elke fase van de levenscyclus van de softwareontwikkeling: definitie van vereisten, ontwerp, ontwikkeling, implementatie en onderhoud. Bovendien omvat de OWASP-methodologie niet alleen toepassingen, maar ook technologieën, processen en human resources.
Een ander groot voordeel is dat de OWASP zowel door webontwikkelaars als door pentesters kan worden gebruikt.
De OWASP-gemeenschap creëerde ook OWASP ZAP – een cross-platform tool voor geautomatiseerd testen, enigszins vergelijkbaar met Burp Suite.
ISSAF
Het Information System Security Assessment Framework (ISSAF) is gemaakt door de Open Information Systems Security Group (OISSG) en omvat vele aspecten van informatiebeveiliging. Het bevat met name gedetailleerde aanbevelingen voor penetratietests: het beschrijft de juiste hulpmiddelen en hoe ze te gebruiken, evenals welke resultaten testers onder verschillende omstandigheden kunnen verwachten.
De ISSAF wordt beschouwd als een complexe en grondige methodologie die kan worden aangepast voor het beoordelen van informatiebeveiliging in elke organisatie. Elke ISSAF-testfase wordt zorgvuldig gedocumenteerd. Deze bron bevat ook aanbevelingen voor het gebruik van specifieke hulpmiddelen in elke fase.
De ISSAF-methode suggereert een strikte reeks stappen te volgen bij het simuleren van een aanval:
- verzamelen van informatie;
- het netwerk in kaart brengen;
- kwetsbaarheden identificeren;
- doordringend;
- basic access privileges krijgen en deze vervolgens verhogen;
- toegang behouden;
- compromitterende externe gebruikers en externe sites;
- de digitale voetafdrukken van de tester verbergen.
PTES
De Penetration Testing Execution Standard (Ptes) biedt aanbevelingen voor het uitvoeren van een basispentest, evenals verschillende meer geavanceerde testvarianten voor organisaties met hoge informatiebeveiligingsvereisten. Een van de voordelen van de PTES is dat het gedetailleerde beschrijvingen geeft van de doelen en verwachte resultaten van de pentest .
De belangrijkste testfasen volgens de PTE ‘ s:
- Inlichtingen Verzamelen. De klantorganisatie geeft de tester Algemene informatie over de doelen binnen hun IT-infrastructuur. De tester verzamelt aanvullende informatie uit openbare bronnen.
- Dreigingsmodellering. Belangrijke gebieden en aanvalsvectoren worden gedefinieerd op basis van bedrijfsprocessen en kritieke IT-infrastructuurelementen.
- Kwetsbaarheidsanalyse. De tester identificeert en evalueert kwetsbaarheidsgerelateerde risico ‘ s. Ze analyseren ook alle kwetsbaarheden die aanvallers kunnen benutten.
- Exploitatie. De tester probeert gevonden kwetsbaarheden te exploiteren en elementen van het informatiesysteem over te nemen, waarbij de acties van een aanvaller worden nagebootst.
- Melden. De klantorganisatie ontvangt een rapport met grondig gedocumenteerde pentest-resultaten, met informatie over gevonden kwetsbaarheden, hoe kritisch ze zijn voor het bedrijf en aanbevelingen voor het oplossen ervan.
De PTES bevat ook een gids voor het uitvoeren van follow-up-of post-exploitatie-tests. Het helpt het bedrijf te bepalen of de gevonden kwetsbaarheden goed zijn opgelost.
Conclusie
Zelfs bij het toepassen van slechts één methodologie, streven ervaren testers ernaar om het hele scala aan potentiële bedreigingen voor de klantorganisatie te dekken. Ze houden ook rekening met de technische, organisatorische en juridische risico ‘ s voor de klant: een tester zal niets doen dat daadwerkelijk een negatieve impact op het bedrijf kan hebben. In tegenstelling tot een aanvaller is een tester veel terughoudender als het gaat om het effect van hun acties op de infrastructuur van het bedrijf van de klant.
Het zo snel mogelijk vinden en oplossen van kwetsbaarheden is een topprioriteit voor elk bedrijf. Het helpt onder andere de hoeveelheid materiële schade te verminderen die kan optreden als een aanvaller er daadwerkelijk in slaagt om een kwetsbaarheid te exploiteren. Daarom is het simuleren van een cyberaanval door het uitvoeren van een pentest als een oorlogsspel: het helpt bedrijven altijd op hun hoede te blijven.
