Het simpele antwoord op de vraag ‘hoe haal je zoveel mogelijk uit een test?’ is ‘door veel te testen!’ Echter is tijd en budget niet onbeperkt en zul je de test moeten afbakenen. Bij penetratietesten verwijst de “scope” naar de bedrijfsmiddelen die getest moeten worden. Elke opdracht heeft een scope die aangeeft wat wel en wat niet getest moet worden. In dit blog bespreken we hoe je het meeste kunt halen uit de scoping van een penetratietest voor een webapplicatie.
Een goede scope helpt om de meeste waarde uit je penetratietest te halen. Een slechte scope zorgt voor onvoldoende dekking voor de doelapplicatie en waardoor potentiële beveiligingslekken gemist kunnen worden, waar aanvallers zich op zouden kunnen richten. Als dat gebeurt, kunnen dergelijke slecht gedefinieerde pentests leiden tot verspilling van de beschikbare middelen. Als bijvoorbeeld de reikwijdte van de penetratietest niet duidelijk is gedefinieerd en/of de doelstellingen dubbelzinnig zijn, wordt het voor de pentester cq. ethisch hacker een uitdaging om zich op specifieke gebieden te richten, wat ertoe kan leiden dat een kritieke kwetsbaarheid wordt gemist.
Gebruik de volgende tips om elke scopingoefening voor een penetratietest te verbeteren.
De juiste mensen betrekken
Zorg er ten eerste voor dat alle juiste mensen bij de scopingoefening aanwezig zijn. Dit betekent alle technische medewerkers die kennis hebben van de doelapplicatie, risico-eigenaren, testers etc. De juiste mensen hebben een beter begrip van de kritieke bedrijfsmiddelen en doelstellingen. Door hen te betrekken bij de scopingoefening zorg je ervoor dat de pentest in lijn is met uw algehele Cyber Security doelen en zich richt op het beschermen van de meest waardevolle bedrijfsmiddelen.
Stel duidelijke doelen voor de test
Wees duidelijk over wat je met de test wilt bereiken. Probeer je specifieke problemen te vinden of wil je je richten op specifieke gebieden? Duidelijke doelen bieden een routekaart voor de pentesters. Ze helpen bij het identificeren en prioriteren van de kritieke bedrijfsmiddelen en functionaliteiten die moeten worden beoordeeld op zwakke plekken in de beveiliging.
Denk na over het doel en de functionaliteit van de toepassing
Sommige dingen moeten extra aandacht krijgen, zoals weten wat je doelproduct doet, wie het gebruikt en waarom? Door de functionaliteit van een webapplicatie te begrijpen, kunnen pentesters bijvoorbeeld plannen maken voor bekende kwetsbaarheden die ze zullen proberen bloot te leggen en de aanvalstechnieken die ze zullen gebruiken om ze te misbruiken.
Bepaalde delen van de webapplicatie kunnen belangrijker zijn dan andere. Aanvallers richten zich vaak op belangrijke functionaliteiten om hun doelen te bereiken, of het nu gaat om ongeautoriseerde toegang, gegevensdiefstal of onderbreking van de service. Door te focussen op de belangrijkste functionaliteiten kan een pentest realistische aanvalsscenario's nabootsen en inzicht verschaffen in de kwetsbaarheden die cybercriminelen zouden kunnen uitbuiten.
Werk samen met de pentesters die jouw applicaties scannen om de belangrijkste gebieden te identificeren waar een beveiligingsprobleem een probleem zou kunnen zijn. Praat met je technische team en vraag hun mening over waar de website problemen zou kunnen hebben en test deze gebieden extra zorgvuldig. Door grenzen te stellen aan wat er wordt getest en je te richten op de belangrijke onderdelen, voorkom je dat je scope te ingewikkeld wordt.
Denk na over mogelijke implicaties voor compliance
Denk aan je compliance-verplichtingen zoals AVG of branchespecifieke regelgeving zoals DORA of PCI DSS. Het ‘voldoen aan deze voorschriften’ kan van invloed zijn op de testaanpak en welke aanvalstechnieken worden geselecteerd, versus die welke worden geacht buiten de grenzen te vallen.
Sommige compliance-normen schrijven de frequentie van pentests voor, bijvoorbeeld jaarlijkse of driemaandelijkse tests kunnen vereist zijn om compliant te blijven. PCI DSS schrijft een specifieke reikwijdte voor de beoordeling voor, waarbij de nadruk ligt op systemen en netwerken die betrokken zijn bij de verwerking, opslag of verzending van gegevens van kaarthouders. Als dit het geval is, moet de reikwijdte van de penetratietest nauw aansluiten op deze PCI DSS-vereisten.
Potentiële valkuilen voorspellen
Schets mogelijke problemen die van invloed kunnen zijn op het testen. Denk hierbij aan de noodzaak om buiten kantooruren te testen, kritieke systemen of andere zaken die specifiek zijn voor de organisatie. Kritieke systemen zijn van vitaal belang voor de dagelijkse activiteiten van de organisatie. Verstoring van of schade aan deze systemen tijdens pentesten kan direct van invloed zijn op de bedrijfscontinuïteit, wat kan leiden tot financiële verliezen en mogelijke schade aan de reputatie van de organisatie. Het aangeven welke systemen bedrijfskritisch zijn tijdens de scoping zorgt ervoor dat de ethisch hacker extra voorzorgsmaatregelen neemt tijdens het testen van dergelijke systemen.
Stel duidelijke projectmanagementdoelen
Er moet ook speciale aandacht worden besteed aan:
- Het tijdsbestek van de test
- Eventuele beperkingen zoals out-of-bounds middelen, systemen of aanvalstechnieken
- Vooraf bepaalde aanvalsscenario's ontworpen om specifieke use-cases te testen
- Of het testen wordt uitgevoerd in een live- of ontwikkelomgeving
- Eventuele vereisten voor speciale rapportage
Dit alles kan van invloed zijn op de manier waarop de test wordt uitgevoerd, welke pentesters worden toegewezen, wanneer het werk kan worden ingepland en hoeveel de test gaat kosten.
Luister naar uw testers
Tijdens de scopingoefening kunnen pentesters om specifieke informatie vragen met betrekking tot de identificatie en prioritering van kritieke bedrijfsmiddelen. Duidelijke communicatie met de pentesters zorgt ervoor dat iedereen op één lijn zit, zodat je prioriteit kunt geven aan de beoordeling van belangrijke systemen en functionaliteiten die essentieel zijn voor de activiteiten van jouw organisatie.
Voor geauthenticeerde tests kunnen ook meerdere gebruikersaccounts nodig zijn om de pentest effectief uit te voeren. Daarom is het belangrijk om tijdens de scoping leden van jouw IT-afdeling te betrekken, die gedetailleerd kennis hebben van de verschillende gebruikersrollen en welke testaccounts mogelijk moeten worden aangemaakt, om de pentesters te helpen hun doel te bereiken.
Vertrouw op je team en werk samen
Tot slot, zie de scoping-oefening als teamwerk. Het einddoel is om ervoor te zorgen dat er overeenstemming is over de vereisten en dat ze klaar zijn voordat er getest gaat worden. Om dit te doen moet je:
- Al jouw zorgen delen
- Positieve en negatieve feedback van eerdere pentesten delen
- Luisteren naar het advies van jouw pentesters
- Een gedetailleerde scope én projectplan maken, deze vervolgens beoordelen en goedkeuren voordat je verder gaat
Met een grondige en gedetailleerde scoping kun je ervoor zorgen dat het doelobject en de functionaliteit ervan adequaat worden gedekt en kun je potentiële beveiligingskwetsbaarheden blootleggen die hierop van invloed kunnen zijn. De extra inspanning die vooraf nodig is voor een gedetailleerde scoping zorgt ervoor dat je de maximale waarde uit de pentest haalt.
Neem contact op met een team van experts om de behoeften van jouw strategie op gebied van Cyber Security te bespreken. Praat met ons team, ontwikkel jouw kennis en bespreek vertrouwelijk jouw uitdagingen via een vrijblijvend een-op-een-gesprek. Of het nu gaat om een specifieke oplossing waarover je meer informatie wilt of een vraag waarop je geen antwoord kunt vinden, wij zijn er voor je.