Ze worden gebruikt alsof ze hetzelfde betekenen. Dat is niet zo, en de twee verwarren is de manier waarop budgetten aan de verkeerde soort beveiliging worden besteed.
door Aydan Arabadzha
Als u ooit drie leveranciers om een "security test" hebt gevraagd en drie sterk uiteenlopende offertes hebt ontvangen, is dit meestal de reden. Eén ervan rekende een vulnerability scan aan. Eén rekende een penetration test aan. De derde rekende iets daartussenin aan en noemde het wat het best klonk op de factuur.
Ze zijn niet hetzelfde, en het verschil kennen bespaart u zowel geld als vals vertrouwen.
Een vulnerability scan is geautomatiseerd. Een tool maakt verbinding met uw systemen, vergelijkt wat ze vindt met een database van bekende problemen en levert een lijst op: verouderde software hier, een zwakke cipher daar, een ontbrekende patch ginder.
Het is snel, het is goedkoop, en u zou er regelmatig één moeten uitvoeren. Beschouw het als de rookmelder in uw huis. Hij staat altijd aan, hij dekt veel terrein af, en hij waarschuwt u voor de voor de hand liggende problemen voordat ze zich verspreiden.
Wat hij niet zal doen, is u vertellen of een van die problemen ook daadwerkelijk tegen u kan worden gebruikt. Scanners produceren false positives. Ze markeren problemen die niet bereikbaar zijn, niet exploiteerbaar, of al gemitigeerd door iets anders in uw stack. Een scan overhandigt u een lijst. Hij vertelt u niet welke items op die lijst een aanvaller wakker houden.
Een penetration test wordt uitgevoerd door mensen. Wij nemen dezelfde positie in als een echte aanvaller, werken uw verdediging met de hand door, en ketenen kleine zwaktes samen tot echte impact. Een scanner ziet een verkeerd geconfigureerde loginpagina. Een tester gebruikt ze om bij uw klantendatabase te raken.
Dat onderscheid is belangrijker dan het klinkt. De meeste ernstige inbreuken zijn niet één catastrofale fout. Het zijn drie of vier gewone problemen, geen ervan op zich alarmerend, gecombineerd tot een pad dat niemand opmerkte. Geautomatiseerde tools kunnen niet over dat pad redeneren. Mensen wel.
Een goede pentest beantwoordt de vraag waar u echt om geeft: als iemand binnen zou willen, zou die dan binnen raken, hoever zou die geraken, en wat zou het u kosten?
U hebt beide nodig, in de juiste volgorde.
Voer vulnerability scans continu uit. Ze houden uw baseline eerlijk en vangen de voor de hand liggende regressies op tussen grotere opdrachten. Voer dan een penetration test uit wanneer er veel op het spel staat: voor een lancering, na een grote wijziging, in aanloop naar een audit, of wanneer een klant of verzekeraar u vraagt te bewijzen dat uw beveiliging standhoudt.
Een eenvoudige manier om erover na te denken:
Als een leverancier u een "penetration test" aanbiedt aan scanprijzen, vraag hen dan hoeveel uren een mens er hands-on aan zal besteden. Het antwoord vertelt u welke van de twee u echt aan het kopen bent.
Een vulnerability scan is breed, geautomatiseerd en constant. Een penetration test is diep, manueel en gericht op echte impact. Behandel de scan als hygiëne en de test als bewijs. Sla een van beide over en u gokt over het deel van uw onderneming waarover u zich het minst kunt veroorloven te gokken.
Als u wil zien waar u nu staat, voer een gratis website scan uit en wij tonen u wat een aanvaller eerst ziet.