SmartLockr - feb 17, 2021

Waarom Pentesting een must is voor banken en financiële instellingen

Waarom Pentesting een must is voor banken en financiële instellingen

Het digitale tijdperk heeft de manier veranderd waarop we omgaan met onze financiën en hoe we het beheren. Wat we niet mogen vergeten, is dat terwijl onze digitale manier van werken steeds beter en sneller wordt, dit ook geldt voor cybercriminelen. In beide gevallen ligt de focus op de digitalisering en innovatie van technologie. Om later niet achter de feiten aan te lopen, wendt de overgrote meerderheid zich tot technologie om de aanpak te versterken. Geen actie nemen kan uiteindelijk een datalek veroorzaken dat in totaal gemiddeld 3,3 miljoen euro kost. Jouw bank moet hier op voorbereid zijn. Er zijn daarom verschillende manieren om te bepalen of je bank of financiële instelling veilig is of niet. Maar hoe kan je als financiele organisatie je cyber-verdediging zo goed mogelijk versterken? Een effectieve aanpak is het uitvoeren van penetratietesten en dat is precies waar we in deze blog op ingaan.


Weet je wat er in deze sector speelt omtrent e-mailbeveiliging en veilige communicatie? En misschien belangrijker nog: heeft jouw organisatie op dit moment de juiste beveiliging om een datalek te kunnen voorkomen? Ontdek het hier: Veilig mailen in de financiële sector


 

Wat zijn penetratietesten?

Een penetratietest, of kortweg pentest, is een gesimuleerde cyberaanval op je computer of beveiligingssysteem. Hiermee controleer je op mogelijke kwetsbaarheden voordat deze door hackers kunnen worden misbruikt. Inzichten die worden verkregen door een pentest, kunnen worden gebruikt om jouw IT-beleid te verfijnen en eventuele gedetecteerde gaten in de beveiliging te dichten.

Over het algemeen zijn er twee categorieën pentesten die het meest van toepassing zijn op financiële instellingen. Dit zijn klantgerichte of compliance-gedreven pentesten versus pentesten die proberen mensen, processen of technologie te exploiteren met als doel in te breken in het netwerk en toegang te krijgen tot gevoelige gegevens. Dit zijn de meest voorkomende pentestmethoden, ongeacht het soort situatie.

1.  Box Testing om gaten in de beveiliging te identificeren. 

  • Black Box-testen

    Allereerst richten Black box-tests zich op een gebrek aan informatie, waarbij de tools en technieken worden gebruikt die een hacker zou gebruiken om de beveiliging te penetreren. Dit type test wordt ook wel een blinde test of een ‘real-world’ hacking-simulatietest genoemd.
  • White Box-testen

    Daarnaast zijn er White Box testen. Dit type test wordt ook wel ‘clear box’ testing genoemd. In dit geval heeft de pentester volledige toegang tot alle informatie over de netwerkinfrastructuur of testapplicaties van de organisatie, inclusief netwerkdiagrammen en protocollen, het IP-adresschema, broncode, etc.
  • Gray Box-testen

    Ten slotte krijgt de pentester gedeeltelijke kennis van het interne netwerk of de webapplicatie. Het belangrijkste voordeel van dit type test is dat het de tester in staat stelt om zijn eerste inspanningen te richten op het identificeren van de gebieden die de belangrijkste veiligheidsrisico's vormen. Dit type test combineert zowel white box- als black box-testtechnieken met een efficiëntere focus en aanpak.

 

2.  Pentests die proberen mensen, processen of technologie te exploiteren met als doel toegang tot gevoelige gegevens te forceren.

Het tweede scenario beschrijft een meer traditionele pentest. Het heeft betrekking op uitbuitingspogingen tegen mensen, processen en technologie.

Dit type pentest is een simulatie waarbij twee teams (Hackers vs Verdediging) Omgaan met een potentiële aanval. Dit is een veel realistischere manier om de gereedheid voor beveiliging en het reactievermogen van een organisatie te testen.

 

Redenen om een pentest uit te voeren:

Inmiddels weet je waarom pentesten belangrijk zijn. Of het nu is om je beveiliging aan te scherpen of gewoon om inbraakdetectie- en reactiemogelijkheden te testen: een pentest doet meer goed dan fout.

Mocht je nog niet overtuigd zijn, hebben we hier is een lijst voor je met de belangrijkste voordelen van een pentesten waarom je deze direct zou moeten invoeren:

1.  Onthult kwetsbaarheden

Zoals eerder vermeld, onderzoekt een pentest bestaande zwakheden in je systeem door applicatieconfiguraties en de netwerkinfrastructuur te scannen. Dit is een behoorlijk diepe scan. Handelingen van je personeel, die kunnen leiden tot datalekken, en kwaadwillende infiltratie tijdens het testen worden onderzocht..


Tot slot informeert een rapport over de kwetsbare punten, zodat je precies weet welke software- en hardwareverbeteringen je moet overwegen of welke aanbevelingen en beleidsregels je algehele beveiliging zullen verbeteren.

 

2. Toont echte risico's

Zodra deze zwakke punten zijn gevonden, proberen pentesters ze te exploiteren. Hierdoor krijgen bedrijven inzicht in wat een aanvaller zou kunnen doen in de ‘echte wereld’. Ze proberen om toegang te krijgen tot gevoelige gegevens en opdrachten van het besturingssysteem uit te voeren.

Toch is niet iedere kwetsbaarheid in het systeem een risico. Soms is een kwetsbaarheid zo complex, dat er geen misbruik van kan worden gemaakt. Het is daarom goed om dit soort type pentest uit te besteden, door specialisten die ervaring hebben met deze complexe zaken.

 

3. Test je cyberverdedigingsvermogen en reactievermogen.

In het geval van een cyberaanval moet je verdediging in staat zijn om aanvallen te detecteren en hier op tijd op te reageren. Zodra je een indringing hebt gedetecteerd, moet je beginnen met onderzoeken, de indringers opsporen en ze blokkeren. Of het nu hackers zijn of experts die de effectiviteit van je beveiligingsstrategie testen. De feedback uit de test zal je vertellen of, en waarschijnlijker welke, acties kunnen worden ondernomen om je verdediging te verbeteren.

 

4.  Zorg voor bedrijfscontinuïteit.

Om ervoor te zorgen dat je bedrijfsactiviteiten actief zijn, heb je netwerkbeschikbaarheid, 24/7 communicatie, en toegang tot bronnen nodig. Elke verstoring heeft een negatieve invloed op je organisatie. Pentesten helpen ervoor te zorgen dat je activiteiten niet te lijden hebben onder onverwachte stilstand of verlies van toegankelijkheid. In dit opzicht lijkt een pentest op een bedrijfscontinuïteitsaudit.

 

5. Zorg voor een geïnformeerde mening van een derde partij

Wanneer iemand intern een probleem signaleert, heeft je management misschien niet de neiging om direct te reageren. Een rapport van een externe deskundige heeft vaak een grotere impact op je management en zal eerder een reactie oproepen.

 

6. Volg de voorschriften en certificeringen

Jouw branche- en wettelijke nalevingsvereisten kunnen een bepaald niveau van pentesten voorschrijven. Denk aan de ISO 27001-norm of PCI-voorschriften, die vereisen dat alle managers en systeemeigenaren regelmatig pentests en beveiligingscontroles uitvoeren met bekwame testers. Dat komt omdat pentesten zich richten op de gevolgen in het echte leven.

 

7. Behoud vertrouwen

Een cyberaanval of datalek heeft een negatieve invloed op het vertrouwen en de loyaliteit van je klanten, leveranciers en partners. Als je organisatie echter bekend staat om de strikte en systematische veiligheidsbeoordelingen en pentests, stel je al je belanghebbenden gerust.

 

De 7 Stappen van Pentesting

Volgens de methodologie van KirkPatrickPrice zijn er 7 fasen van pentesten. Het is echter belangrijk op te merken dat deze kunnen verschillen met wat je zelf misschien al weet en gewend ben. Verschillende methoden van pentesten over de hele wereld zullen kleine variaties in het proces hebben, maar de hoofdfasen blijven voor het grootste deel hetzelfde.

 

Pentesting Process Infographic (1)

 

  1. Informatie verzamelen: De organisatie die wordt getest, zal de penetratietester algemene informatie verstrekken over de binnen de scope vallende doelen.
  2. Verkenning: Gebruikt de verzamelde informatie om aanvullende gegevens uit openbaar toegankelijke bronnen te verzamelen.
  3. Ontdekking en scannen: Verzamelde informatie wordt gebruikt om opsporingsactiviteiten uit te voeren. Zaken bepalen zoals welke poorten en services die beschikbaar waren voor beoogde hosts of subdomeinen die beschikbaar waren voor webapplicaties.
  4. Kwetsbaarheidsbeoordeling: Uitgevoerd om initiële kennis op te doen en mogelijke zwakke plekken in de beveiliging te identificeren waardoor een aanvaller van buitenaf toegang kan krijgen tot de omgeving of de technologie die wordt getest.
  5. Exploitatie: Na het interpreteren van de resultaten van de VA zullen deskundige penetratietesters deze kwetsbaarheden valideren, aanvallen en misbruiken.
  6. Voltooi analyse en beoordeling: Beschrijft en verklaart het proces en de resultaten volledig. Waaronder: waar het testen begon, hoe hiaten werden gevonden en vervolgens uitgebuit.
  7. Gebruik de testresultaten: Gebruik de bevindingen om zwakke punten te rangschikken, de potentiële impact van gevonden kwetsbaarheden te analyseren, herstelstrategieën te bepalen en de besluitvorming in de toekomst te informeren.

Vergeet niet voorzichtig te zijn! Als een pentest slecht wordt uitgevoerd, kan dit leiden tot systeemcomplicaties. Het is gebruikelijk dat organisaties pentesting uitbesteden aan experts en specialisten uit de industrie.

Het belang van pentesten is alleen maar duidelijker geworden, vooral in een gedigitaliseerde wereld waarin je zinkt als je niet zwemt. Met Pentests kun je zwaktes in de beveiliging van je organisatie identificeren voordat criminelen met slechte bedoelingen dit doen en hiervan profiteren. Als je de zwakte van je organisatie begrijpt, kun je de verdediging versterken voordat er schade wordt aangericht. Dus of je reden voor het implementeren van pentesting wordt gemotiveerd door beveiliging of naleving van wetten.: aan het eind van de dag is voorkomen altijd beter dan genezen.

Written by SmartLockr