Executives Guide: Penetration Testing and Ethical Hacking

SALT Cyber Security

SALT Cyber Security schrijft regelmatig via de Executives Guide van security blogger Thomas van den Nieuwenhoff over de beveiligingsmaatregelen die je "al jaren geleden had moeten implementeren", om ongevallen te voorkomen waar je waarschijnlijk momenteel niet direct door bedreigd wordt. Het is iets wat Cyber Security Specialisten vaker doen: de vinger op de wond leggen. We zijn als specialisten opgeleid in het herkennen van beveiligingsrisico's en gebruiken onze ervaring en kennis om hier oplossingen voor te bedenken. Het enige wat we dan nog missen is de wijde implementatie van die oplossingen, om in onze ogen de wereld veiliger te maken. SALT Cyber Security wil met behulp van dit blog eens een ander geluid laten horen. Niet een van angst en beschaming, maar van kansen en mogelijkheden.

De wereld van technologie is vele dingen: vernieuwend, innovatief, een oneindige cash cow, een redder, maar ook relatief jong, altijd veranderend, duur en gevaarlijk. Daarom willen wij als securityspecialisten orde scheppen in de chaos, om je te kunnen vertellen over het oplossen, of nog liever voorkomen van catastrofale beveiligingsincidenten. In dit artikel behandelt SALT Cyber Security pentesting en ethical hacking, een efficiënte stap naar betere bescherming van je organisatie en je medewerkers.

Pentesten: wat is het?
Penetratietesten, ook wel pentesten genoemd, is het proces waarbij een applicatie of netwerk wordt aangevallen om de beveiligingsstatus te evalueren (bron: Forbes). Het doel is om kwetsbaarheden, beveiligingsbugs die kunnen worden aangevallen, te identificeren en te verhelpen voordat kwaadwillende actoren ze misbruiken. Waarom is dit belangrijk voor jouw organisatie? Een simpele reden: pentesten is hetgeen wat onvolwassen organisaties onderscheidt van de volwassenen. Met deze onderscheiding breek ik eigenlijk meteen al een van mijn belangrijkste doelen voor deze serie: geen beschamende taal gebruiken. Maar, het gevecht tussen hackers en security professionals is een ongelijke strijd; er moet constant geanticipeerd worden op het veranderende IT- en business landschap. Door actief bezig te zijn met aanvallen van je eigen bedrijf, blijf je deze kwade actoren voor.

Ethisch hacken: het brave jongetje in een klas van inbrekers
Iedere organisatie zou hun eigen IT dus actief aan moeten vallen, maar hoe doe je dat? Gelukkig bestaan er naast kwaadwillende hackers ook ethical hackers (ook wel white hat hackers genoemd). Ethisch hacken is legaal inbreken in computers en apparaten om de verdediging van een organisatie te testen (bron: CSO). Je huurt een ethisch hacker dus in om onder strikte voorwaarden de beveiliging van jouw systemen te testen en je te vertellen wat je moet oplossen om minder kwetsbaar te zijn. Een prettiger en goedkoper alternatief voor afwachten tot een kwaadwillende hacker een keer inbreekt.

Waarom een hack onvermijdbaar is
"Yeah, right. Alsof mijn organisatie dat gaat overkomen.", horen wij je zeggen. Het is niet iets wat we graag toegeven, maar het je hebt wel een punt. Er bestaat immers nog altijd een afweging met inachtneming van het reële aanvalsrisico. Het vervelende is alleen dat je er vroeger vanuit kon gaan dat kleine tot middelgrote organisaties redelijk weinig risico liepen op een hack, maar dat is tegenwoordig echt het geval niet meer. Richting de toekomst zal dit ook alleen maar toe blijven nemen. De groep actieve hackers is gigantisch geworden en het maakt ze ook niet meer uit wie het slachtoffer is. Bij iedereen valt tegenwoordig kostbare informatie te halen die gemakkelijk via allerlei wegen verhandeld kan worden. Het levert je dus gewoon heel veel op om een goede cybersecuritystrategie te hebben. Daarmee verlaag je het risico dat hackers in jouw IT binnendringen en heb je een 'fighting chance' als ze het tóch voor elkaar krijgen.

Wij van SALT Cyber Security hopen dat we het nut van pentesten en ethical hacking duidelijk hebben kunnen maken. Niemand is erbij gebaat als je slachtoffer wordt van een cyberaanval, behalve de criminelen. Helaas nemen dit soort aanvallen jaar op jaar toch weer toe. Tussen 2021 en 2022 was er een wereldwijde stijging van 72 procent.

Weet u wat de status is van het cybersecurity-level binnen uw organisatie? Neem vrijblijvend contact op of vraag direct een pentest aan.