Als het gaat om IT-security, werkt Vindicta al jaren nauw samen met Freudiger IT services. Eigenaar Samuel Freudiger biedt als consultant kwetsbaarheidsscans en pentesten aan bedrijven. In dit blog legt hij uit waar de meeste bedrijven gevaar lopen en wat kwetsbaarheidsscans en pentesten kunnen betekenen voor de veiligheid van uw IT.
‘De afgelopen twintig jaar heb ik in verschillende bedrijfsomgevingen gewerkt en gezien hoe computers en netwerken ons werken en leven hebben veranderd. In al die tijd zijn het steeds dezelfde factoren geweest die de veiligheid van computersystemen negatief beïnvloeden. Misschien is de belangrijkste wel de mens zelf. Jij en ik, dus. Dat wij mensen zijn, maakt ons kwetsbaar. We willen graag behulpzaam, maar ook succesvol zijn. Dus kiezen we al snel voor gebruiksgemak en resultaat in plaats van veiligheid. En dat maakt aanvallen met een sociaal karakter relatief succesvol. De tweede die ik veel ben tegengekomen, is verkeerde configuratie of foutief gebruik van software. Het installeren van software is op zich niet ingewikkeld, maar goed en vooral veilig configureren vraagt om specifieke kennis. Bedrijven hebben vaak geen zin om daarvoor een ‘dure’ externe specialist in te huren en doen het dus zelf, met alle risico’s die dat met zich meebrengt. De derde is er ook één van alle jaren: gebruik van verouderde software. Het kan best ingewikkeld zijn om alles netjes up-to-date te houden, maar het is essentieel voor de veiligheid van je computersysteem en netwerk.
praktijkvoorbeelden
‘Ik zal aan de hand van twee voorbeelden proberen te laten zien hoe gemakkelijk het kan misgaan. Stel, we hebben een reclamebureau met twintig mensen, die campagnes maken voor modelabels. Eén van de medewerkers klikt privé op een link in een phishingmailtje met als mogelijk gevolg dat de ‘boeven’ de beschikking krijgen over het wachtwoord van de medewerker. En datzelfde wachtwoord gebruikt hij of zij voor bijna alle accounts, ook op het werk. En zo verschaffen de ‘boeven’ zich toegang tot het netwerk van het reclamebureau. Iets vergelijkbaars kan gebeuren bij een bedrijf dat een technologisch hoogwaardig onderdeel maakt voor bijvoorbeeld een scheepsmotor. Waar er in het geval van het reclamebureau nog sprake was van een willekeurige actie in de hoop ergens beet te krijgen, zijn dit soort gespecialiseerde bedrijven vaak het doelwit van heel gerichte acties. Het achterliggende doel is kennis en informatie stelen of systemen zodanig te saboteren dat projecten in gevaar komen. Wat je dus ziet, is dat de dreiging van internetcriminaliteit voor elke bedrijf anders kan zijn, afhankelijk van de aard en omvang van de organisatie.’
pentesten
‘Een penetratietest, in de volksmond ook bekend als pentest, is een bewust gesimuleerde aanval op een computersysteem, dat wordt uitgevoerd om de beveiliging van het systeem te testen. De test wordt gedaan om zowel zwakke punten te identificeren, waaronder de mogelijkheid voor onbevoegde partijen om toegang te krijgen tot de functies en gegevens van het systeem, als ook de sterke punten, waardoor een volledig risicobeeld ontstaat. Bij mij heb je in grote lijnen twee mogelijkheden om je systemen te laten testen:
- Vulnerability assessment, waarbij ik met gestandaardiseerde software computers en netwerken op veiligheid test. Met de resultaten stel ik een rapportage op, die ik met de opdrachtgever en Vindicta, bespreek. Met de inzichten die een dergelijk onderzoek opleveren, kunnen ze de systemen veiliger maken. Dit onderzoek kan je frequent en kostenefficiënt uitvoeren. Vindicta laat deze scan maandelijks uitvoeren op al haar systemen.
- Security check, waarbij de veiligheid van de systemen handmatig op verschillende manieren, met allerlei tools op de proef wordt gesteld. Ik probeer mezelf binnen een bepaald tijdsbestek toegang te verschaffen tot het computersysteem van het bedrijf. Dat is echt maatwerk. De middelen die ik gebruik, verschillen per opdracht. De organisatie krijgt op deze manier een gedetailleerd inzicht in de mate van veiligheid. Dit soort onderzoeken doe ik meestal één keer per jaar voor mijn opdrachtgevers, tenzij ze vergaande aanpassingen hebben uitgevoerd in hun IT-systeem.’
meten is weten
‘Als je weet of je kwetsbaar bent en waar het eventuele gevaar schuilt, kan je pas beslissen of de risico’s aanvaardbaar zijn of niet. Zonder die informatie tast je in het duister en als je dan wordt verrast door bijvoorbeeld gijzelsoftware, ben je de klos. De schade die dat kan aanbrengen aan een systeem en de bedrijfsvoering, is groter dan de investering in maatregelen om het te voorkomen. Samen met Vindicta kan ik ervoor zorgen dat bedrijven weten waar ze aan toe zijn om vervolgens hun IT-omgeving veiliger maken.