Interview met Ben Thornhill over Pentesten.
Pentesten is een van de meest besproken onderwerpen op gebied van Cyber Security-dienstverlening. Voor sommigen klinkt het misschien nogal saai, maar veel organisaties zijn momenteel aan het evalueren of en hoe ze een pentest moeten uitvoeren. Dit interview met Ben Thornhill , Group Security Manager bij Claranet, geeft antwoord op de meest prangende vragen.
Ben, kan je jezelf voorstellen door te vertellen over je achtergrond en hoe je in de Cyber Security terecht bent gekomen?
Met een diploma in Europese integratie en talen en na een succesvolle carrière in onroerend goed, besloot ik een andere richting in te slaan en stapte ik in 2008 over naar Cyber Security. Ik had altijd al een grote interesse in IT gehad en was op zoek naar een branche die zou groeien. Ik had die dag staatsloten moeten kopen, want ik had gelijk!
Hoewel de branche toen een stuk kleiner was, viel er nog veel te leren, maar het bedrijf waar ik begon leverde pen(etratie)tests en dat bleek een uitstekende manier om een grondig inzicht te krijgen in cyberbedreigingen, hoe risico's kunnen worden besproken en gecategoriseerd en hoe klanten het beste kunnen worden geadviseerd over de beveiligingsstrategie.
In 2017 werd dat bedrijf overgenomen door Claranet en ging het van een leien dakje. Na mijn succes als Account Manager en vervolgens als Salesmanager, werd ik verantwoordelijk voor het uitvoeren van pentests en compliancy-diensten én voor het ontwikkelen van nieuwe aanbiedingen om tegemoet te komen aan de steeds veranderende uitdagingen van onze klanten.
Toen zich de kans voordeed om in een groepsfunctie collega's uit alle Claranet-landen te helpen hun security-portfolio te ontwikkelen en uit te breiden en de securitydiensten internationaal te coördineren, wist ik meteen dat dit al mijn werk- en levenservaring zou samenbrengen en na een jaar in deze nieuwe functie kan ik eerlijk zeggen dat ik van elke minuut heb genoten!
Kan je een kort overzicht geven van de pentestdiensten van Claranet?
Claranet biedt een breed scala aan pentestdiensten én een ruime keuze aan leveringsmethoden. Hoewel er altijd de meeste vraag is naar het testen van web- en mobiele applicaties en netwerkinfrastructuur, zien we naarmate de beveiligingsmaatregelen van onze klanten volwassener worden, ook een toenemende vraag naar Social Engineering, Red Teaming en review van cloudconfiguraties.
We hebben nu ervaring in veel landen en we ontwikkelen voortdurend nieuwe technieken en benaderingen om te voldoen aan nieuwe verzoeken van ons steeds breder wordende klantenbestand om risico's in opkomende technologie inzichtelijk te maken. Ons motto is dat we alles kunnen testen waar hackers zich op kunnen richten.
Welke soorten organisaties of bedrijfstakken hebben het meeste baat bij pentesten?
Pentesten zijn een middel om inzicht te krijgen in risico's die, als ze niet worden aangepakt, kunnen worden misbruikt om een zakelijke impact te veroorzaken. Als zodanig is het geschikt voor elke organisatie die gegevens opslaat of verwerkt die zij moet beschermen. Voeg daar organisaties aan toe waarvan de financiën ernstige gevolgen zouden ondervinden van een verstoring van hun bedrijfsmodel en je hebt de overgrote meerderheid van organisaties en bedrijfstakken.
Er zijn enkele in het oog springende voorbeelden van organisaties die bijzondere zorg moeten besteden aan de bescherming van gevoelige gegevens. Hiertoe behoren de gezondheidszorg, het bank- en financiewezen en de overheid.
Het voordeel van pentesten is echter niet recht evenredig met de grootte van de organisatie. Een grootzakelijke of enterprise organisatie is meestal beter uitgerust om de schade van een cyberaanval te overleven dan een kleine of middelgrote organisatie die mogelijk niet kan blijven functioneren. Daarom zijn er situaties waarin penetratietests en de extra beveiliging die ze mogelijk maken, juist belangrijker zijn voor kleinere organisaties.
Wat zeker is, is dat het soort zichtbaarheid van risico's dat penetratietesten bieden, een essentieel hulpmiddel is in de beveiliging van alle organisaties.
Wat zijn in jouw ervaring succesfactoren voor, tijdens en na een penetratietest?
Bij Claranet geloven we erin om onze klanten zo snel mogelijk met onze securityexperts te laten praten, dus de eerste gesprekken om een duidelijk begrip te krijgen van het doel van de test leiden direct naar de scoping waarbij we alle informatie verzamelen die nodig is om de duur van de vereiste opdracht te definiëren.
De scoping is grondig en omvat alle aspecten van de benodigde tests. Het wordt uitgevoerd door ervaren pentesters die de klant door het proces leiden, de verschillende benaderingen bespreken en uitleggen waarom bepaalde informatie nodig is om een nauwkeurig voorstel te kunnen doen.
Eenmaal gedefinieerd wordt het voorstel voor het werk samengevat in een Statement of Work dat de overeengekomen scope weergeeft en op hoog niveau de werkzaamheden beschrijft die geleverd zullen worden. Hoewel dit stadium snel wordt afgerond, is het grondig en gedetailleerd omdat het vanaf dit punt de hele opdracht bepaalt en een penetratietest van hoge kwaliteit ieders doel is.
Tijdschema's staan vaak onder druk wanneer onze klanten naar ons toekomen met een testbehoefte. Wanneer er deadlines en go-live data snel naderen, kan het een uitdaging zijn. Claranet heeft een Project Managementteam dat zich bezighoudt met planning en de details die tijdens de scoping worden vastgelegd en helpen bij het vinden van datums die voldoen aan de behoeften van onze klanten. Claranet heeft een groot team van pentesters, dus flexibiliteit met planning en snelle turnarounds is een gebied waarop we uitblinken.
Wij geloven in openheid en goede communicatie en tijdens het testen geven onze testers elke dag updates over de voortgang en de belangrijkste bevindingen, wat bijdraagt aan het vertrouwen en onze klanten waardevolle inzichten verschaft.
Na levering van het rapport moedigen we een debriefinggesprek sterk aan om de resultaten en voorgestelde herstelpaden te bespreken. Deze discussie, gecombineerd met de details in het rapport, stelt onze klanten in staat om een duidelijk en geprioriteerd herstelplan op te stellen, verhoogt de waarde van de test en vergroot de kans op een robuustere beveiliging voor onze klanten.
Wat zijn de meest voorkomende ‘ Do's’ en ‘Don'ts’ bij pentesten?
DO:
- Het testbedrijf voorzien van een duidelijke, gedetailleerde en uitgebreide scope voor White Boxtests.
- Geef een duidelijke briefing en bespreek de verwachtingen en prioriteiten met het testbedrijf voor alle Black Box- of pentests met beperkte tijd.
- Ervoor zorgen dat toegang en referenties voor het doelsysteem/de doelomgeving zijn verstrekt en bevestigd voor de start van pentests.
- Ervoor zorgen dat andere interne en externe belanghebbenden op de hoogte zijn van de penetratietests en wanneer deze worden uitgevoerd en dat je over de benodigde machtigingen beschikt.
- Spreek af wat er tijdens een test wordt gecommuniceerd. Vaak zullen pentestleveranciers regelmatig updates geven over wat ze hebben gedaan en wat ze hebben gevonden en zullen ze kwetsbaarheden met een hoog risico altijd meteen communiceren, maar het is altijd het beste om dit tijdens de scoping te bespreken om de verwachtingen vast te stellen.
- Zorg voor een debriefinggesprek met de testers om er zeker van te zijn dat alle bevindingen in het rapport volledig worden begrepen voordat er met de herstelwerkzaamheden wordt begonnen.
- Overweeg opnieuw te testen tegen hetzelfde doel als de herstelwerkzaamheden zijn afgerond. Het is een zeer nuttige manier om te valideren dat het verhelpen van kwetsbaarheden succesvol is verlopen.
DON'T:
- Verander de scope niet vlak voor of tijdens een testopdracht. Dit kan verwarring veroorzaken en het testplan verstoren. Het is waarschijnlijk dat het aantal dagen dat gepland stond voor de test gebaseerd was op de oorspronkelijke scope en dat significante veranderingen in de scope een ander aantal dagen nodig hebben. De testagenda's van succesvolle leveranciers zijn altijd druk en het is dus niet zomaar een kwestie van een paar dagen toevoegen aan het einde van een test. In deze situaties moet de test opnieuw worden gepland om er zeker van te zijn dat er voldoende tijd is om het doel te bereiken met behulp van de juiste testmethodologie.
- Denk niet dat iedereen pentesten kan uitvoeren. Het is een hooggekwalificeerde service die gebaseerd is op robuuste, gevestigde methodologieën die zijn verfijnd gedurende duizenden opdrachten door pentesters die een uitgebreide en rigoureuze training en shadowing hebben ondergaan en wier capaciteiten worden onderstreept door vele specifieke en industrieel erkende kwalificaties.
Wat zijn de belangrijkste verschillen tussen een standaard pentest en een Red Team-opdracht en hoe beslis je welke aanpak het meest geschikt is voor de specifieke behoeften van een klant?
Zowel pentests als Red Team-oefeningen bootsen het gedrag van echte bedreigende actoren na, maar ze verschillen aanzienlijk.
Pentests worden uitgevoerd op basis van specifieke middelen die uitgebreid moeten worden getest (websites, IP's, devices, etc.). Het doel is om alle mogelijke zwakke plekken te identificeren, het risiconiveau te beoordelen dat hierdoor in de organisatie wordt geïntroduceerd en om geschikte oplossingen te prioriteren op basis van metrieken zoals impact en waarschijnlijkheid.
Red Team-oefeningen zijn gebaseerd op specifiek doelstellingen, bijvoorbeeld "domeinbeheerder worden" of "toegang krijgen tot kritisch intellectueel eigendom", en simuleren een live, goed onderbouwde cyberaanval. Het doel is om zwakke en sterke punten in beveiligingscontroles vast te stellen, het vermogen van een bedreigende actor om specifieke doelen te bereiken te demonstreren, de waarschijnlijkheid te beoordelen dat een gerichte aanval een vooraf gedefinieerde impact heeft en verdedigingscontroles in kaart te brengen en te prioriteren rond relevante tactieken, technieken en procedures.
Kun je uitleggen wat de verschillende soorten pentests zijn (bijv. Black Box, Grey Box en White Box) en wanneer deze het meest geschikt zijn?
Het uitleggen en begrijpen van het verschil tussen deze testbenaderingen is vrij eenvoudig. Het selecteren van de meest geschikte benadering voor een klant kan een grotere uitdaging zijn omdat klanten vaak hun eigen ideeën hebben. Wij hebben geen problemen met die discussie.
Bij Black Box-testen krijgt de pentester helemaal geen informatie en moet hij de aanpak van een aanvaller zonder privileges nabootsen.
Bij een Grey Box-test krijgt de pentester beperkte informatie, bijvoorbeeld inloggegevens voor een standaardgebruiker. Dit kan nuttig zijn om het risico van privilege-escalatie binnen het doelsysteem te begrijpen.
Bij de White box-testen wordt alle relevante informatie aan de penetratietester verstrekt, inclusief systeemarchitectuur, toegang en gebruikersaccounts met verschillende privilegeniveaus, enz.
Deze en andere benaderingen worden uitvoerig met klanten besproken tijdens de scoping om ervoor te zorgen dat het meest geschikte testtype wordt geselecteerd. Meestal gaat de voorkeur uit naar White Box-testen vanwege de waarde die dit biedt in termen van dekking, ontdekte kwetsbaarheden en geïdentificeerde herstelacties. Black Box-testen kunnen interessante resultaten opleveren voor een doel dat al uitvoerig is getest en hersteld, maar in andere situaties kunnen de resultaten moeilijk te interpreteren zijn. Bijvoorbeeld als de tester niet in staat is om kwetsbaarheden te vinden en te misbruiken tijdens een Black Box-test, betekent dit dan dat het doel veilig is? Wat zou er gebeurd zijn als de tester meer tijd had gehad? Aanvallers in de echte wereld hebben onbeperkte tijd, dus wat voor conclusies kunnen er worden getrokken?
Zowel Black Box-tests als Grey Box-tests hebben hun nut, maar ze vereisen zorgvuldige overweging en begeleiding van ervaren en welbespraakte beveiligingsexperts.
Vaak worden Black Box-tests aangevraagd omdat men aanneemt dat dit een goedkopere optie is vanwege de beperkte duur. Voor deze situaties raden we aan om het budget mee te nemen in de scopingdiscussie en te zoeken naar manieren om een tijdgebonden test uit te voeren die zich richt op de gebieden die het belangrijkst worden geacht. Op deze manier kan het rapport duidelijk maken wat niet mogelijk was om in die tijd te testen en kan het aanbevelingen doen voor wat in latere tests moet worden getest.
Kun je een voorbeeld geven van een recente pentestopdracht en de waarde ervan voor de klant?
Claranet werkt met veel organisaties binnen de gezondheidszorg. Tijdens de Covid-19 pandemie was er een dringende noodzaak voor NHS Trusts in het Verenigd Koninkrijk om hoogopgeleid personeel snel en frequent te verplaatsen en in te zetten tussen ziekenhuizen om deskundige zorg te bieden waar dat het meest nodig was. Voorheen waren de benodigde identiteitscontroles een tijdrovende handmatige papierwinkel, maar de Britse NHS had een 'digitaal personeelspaspoort' ontwikkeld waarbij medische medewerkers een app konden gebruiken die verbinding maakte met HR-systemen om snel en naadloos de identiteit van elk personeelslid te verifiëren en ervoor te zorgen dat de juiste mensen op het juiste moment op de juiste plaats waren. De uitdaging was om de veiligheid van de aanzienlijke hoeveelheid gevoelige persoonlijke gegevens waartoe het systeem toegang had te valideren.
Naast het leveren van snelle en uitgebreide penetratietests van alle aspecten van het front- en back-endsysteem, ging het beveiligingsteam van Claranet verder door het ontwerp en het concept in zijn geheel te beoordelen om ervoor te zorgen dat de beveiliging in elke fase was ingebouwd.
We zijn erg trots op het werk dat we bij Claranet leveren en het was zeer de moeite waard om de gezondheidszorg op deze manier te ondersteunen tijdens de wereldwijde crisis.
Wat voor soort rapportages kunnen klanten verwachten en hoe kunnen ze deze informatie gebruiken om hun beveiliging te verbeteren?
Voor ons zijn rapporten essentieel omdat ze de resultaten van de oefening bevatten en het hele plaatje nauwkeurig en beknopt moeten weergeven. Het heeft geen zin om een uitstekende pentest uit te voeren als de resultaten niet kunnen worden begrepen of op een praktische manier kunnen worden gebruikt, toch?
Claranetrapporten zijn duidelijk en beknopt en bevatten een korte samenvatting die kan worden gebruikt om de hoogtepunten uit te leggen aan een niet-technisch publiek. Natuurlijk bevatten ze alle technische details die je zou verwachten in een pentestrapport; kwetsbaarheden gerangschikt in volgorde van risico, risico gecategoriseerd op basis van impact en waarschijnlijkheid, screenshots en details van hoe de kwetsbaarheid werd uitgebuit en suggesties voor herstel.
We raden altijd aan om het rapport vergezeld te laten gaan van een debriefinggesprek tussen de testers en onze klant om er zeker van te zijn dat de resultaten en de voorgestelde oplossingen volledig worden begrepen. Onze klanten vinden het gemakkelijk om onze rapporten te gebruiken om een actieplan voor prioriteitsherstel op te stellen en om de hersteltaken intern uit te leggen en toe te wijzen. Dit rechtvaardigt de kosten van de penetratietest en zorgt ervoor dat het maximale voordeel voor de beveiliging van de klant wordt gerealiseerd.
Hoe vaak moeten organisaties penetratietests uitvoeren en hoe kunnen ze deze tests integreren in hun algehele beveiligingsstrategie?
Traditioneel werd altijd gedacht aan jaarlijks testen of na elke belangrijke wijziging aan het doel. Met de voortdurende en steeds snellere veranderingen in de technologie, komen er steeds nieuwe bedreigingen bij en moet er vaker worden getest op kwetsbaarheden om kwetsbaarheden te identificeren en te verhelpen en het risico te minimaliseren.
Dit is een uitdaging die we begrijpen en we hebben nieuwe manieren ontwikkeld voor onze klanten om pentests uit te voeren, zoals Continuous Security Testing, waarbij het doelwit voortdurend wordt gescand om kwetsbaarheden te identificeren voordat handmatige pentesttechnieken worden gebruikt om het risico te bepalen. Dit voorkomt dat onze klanten worden blootgesteld aan kwetsbaarheden met een hoog risico en zorgt ervoor dat defensieve teams bovenop het herstel kunnen blijven zitten wanneer kwetsbaarheden worden geïdentificeerd.
Met het steeds breder wordende aanvalsoppervlak staan organisaties voor de moeilijke uitdaging om alles voortdurend te beoordelen op kwetsbaarheden. Pentests zijn een nuttig hulpmiddel om een uitgebreide, point-in-time momentopname van het risico te maken voor bijvoorbeeld systemen en applicaties voordat ze live gaan, en Continuous Security Testing kan worden gebruikt voor applicaties die waardevollere of gevoeligere gegevens bevatten die te allen tijde vrij van risico moeten zijn.
Het categoriseren van de gegevens of het belang van een systeem of applicatie voor het bedrijf en het selecteren van het type tests en de frequentie op basis van die categorisering is een nuttige manier om penetratietests in te integreren in de beveiligingsstrategie en ervoor te zorgen dat ze het vereiste type zichtbaarheid van risico's bieden.
Welke andere beveiligingsdiensten biedt Claranet, naast pentests, om organisaties te helpen hun beveiligingspositie te versterken en zich te beschermen tegen cyberbedreigingen?
Claranet's cyberbeveiligingsdiensten vallen uiteen in twee groepen; offensief en defensief.
Offensieve beveiliging biedt onze klanten zichtbaarheid van risico's door aanvallen te simuleren of een beveiligingsaudit tegen een doelwit uit te voeren.
Naast penetratietesten omvatten deze diensten:
- Continuous Security Testing
- SAP-beveiligingscontrole
- PCI DSS QSA-consultancy
- ISO27001-consultancy
- Cyber Essentials-beoordelingen
Defensive Security biedt continue 24×7 monitoring van onze klantomgevingen door ervaren en hoogopgeleide SOC-analisten die reageren op beveiligingswaarschuwingen zodra deze zich voordoen.
Deze services omvatten;
- Endpoint Detection & Response
- Managed Detection & Response
- Security (Awareness) Trainingen
Als je een boodschap zou kunnen sturen aan alle CIO's en CISO's, wat zou die dan zijn?
Kies een partner met wie je een langdurige relatie kunt opbouwen, het zal jouw reis naar volwassen beveiliging versnellen. Aanbieders van pentests worden vaak regelmatig vervangen, de gedachte is dat door van aanbieder te veranderen, de klant een breder perspectief op zijn beveiliging krijgt. Mijn advies is om een sterke relatie te ontwikkelen met een provider die zowel offensieve als defensieve beveiliging begrijpt en de resultaten van het ene type engagement kan gebruiken om het andere type beter te configureren. Bij Claranet leveren we het meest effectieve werk voor klanten die al jaren met ons samenwerken als hun beveiligingspartner, dus houd rekening met deze voordelen bij het selecteren van jouw securitypartner.
Met welke uitdaging je ook wordt geconfronteerd, bij Claranet halen we voldoening uit de mogelijkheid om je te helpen de juiste oplossing te vinden en als mijn jarenlange ervaring me één ding vertelt, is het dat alle beste oplossingen beginnen met een eerste gesprek, dus kom alstublieft met ons praten.
Dit interview is eerder verschenen op de website van Bosch CyberCompare en in het Claranet Security Magazine.