Scope pentest: Game over of Next level?

Wat is nu eigenlijk die ‘scope’? Wat valt er wél onder en misschien belangrijker, wat niet? Laat de hackers hacken en voorkom dat uw concurrenten de strijd winnen.

De scope, u heeft er vast wel eens mee te maken gehad. U geeft een auditbedrijf toestemming tot een penetratietest (pentest) en als klant bepaalt u precies wat de securityspecialist wel en niet mag testen. Helder en logisch, toch?

Stel, u bent eigenaar van een succesvol, internet georiënteerd bedrijf. Het succes gaat als een lopend vuurtje en blijft ook de concurrentie niet onopgemerkt. U heeft een prachtige website in een ‘state-of-the-art’ datacenter en u bent een mooie database met klantgegevens aan het opbouwen. Nu vraagt u zich af of de privacy van uw data gewaarborgd is en besluit de informatiebeveiliging te laten testen.

Schijnveiligheid?

Zorgvuldig kiest u het security auditbedrijf en schetst de voorwaarden. De pentest mag niet leiden tot gegevensverlies, downtime en mag de continuïteit van het bedrijfsproces niet in gevaar brengen. U geeft ze de scope om te testen; de URL van de website. Niets meer, niets minder. Oh ja, ze mogen alleen testen op de laatste maandag van de maand, omdat het aantal transacties dan laag is en er tijd is om dingen te repareren mocht er toch per ongeluk iets verkeerd gaan.

De securityspecialisten beginnen met de test en stuiten op een aantal bedreigingen. Uw SSL-setup kan beter, de server-headers moeten strikter en ze vinden een XSS in een van uw formulieren. Tot zover de test. Het auditbedrijf levert een mooi rapport, u volgt de aanbevelingen op en bent weer veilig. Toch?

De grenzeloze concurrent

Laten we het uw concurrent eens vragen. Hebben zij dezelfde scope? Testen zij alleen uw site op poort 443? En doen ze dat slechts één keer, op de laatste maandag van de maand? Nee. Zij niet. Zij hebben geen regels. Ze doen een poortscan op uw server en vinden op poort 8443 een kwetsbare Plesk-installatie (server beheer applicatie) en ze rooten de gehele server. Game over.
Ze ontdekken dat de server van uw database luistert op poort 3306, toegankelijk is voor de hele wereld én nog steeds de standaard ‘admin’ wachtwoorden heeft. Game over. Of ze vinden in dezelfde IP-range als uw server een web interface naar de Idrac (beheer) console van het datacenter server rack. Login: root. Password: Calvin. Powerdown. Game over.

Natuurlijk, geen fair play. Dit valt volledig buiten uw controle en niet binnen uw scope. Maar, zegt u eens eerlijk. Dit had u toch willen voorkomen?

Scope, de in’s en out’s

Wat is nu eigenlijk die ‘scope’? Wat valt er wél onder en misschien belangrijker, wat niet?
Onder ‘scope’ verstaat men “Het beperken van het risico van een pentest door het strikt definiëren van de te testen doelen”. Ik vergelijk de scope soms met het iemand vragen om het nieuwe slot te testen van de voordeur van uw huis. Het slot werkt prima. Perfect! Maar, het raam naast de deur heeft een kapotte sluiting en wordt geopend in 2 seconden. Viel niet binnen de scope, maar had voorkomen kunnen worden.

Scope verstandig, verleg de grens!

Begrijp me niet verkeerd, ‘scopen’ is absoluut nodig. Maar als u écht uw bedrijf, website, app of netwerk wilt testen, geef dan de securityspecialisten tijd en ruimte. Laat ze een ‘aanvalshoek’ proberen, geef ze tijd om na te denken. Tijd om het opnieuw te proberen, om terug te komen via een heel andere invalshoek. Laat ze proberen om toegang te krijgen tot uw systemen, of kwetsbare en verouderde software aan te tonen, ergens langs het gehele toegangspad naar uw dienst. Laat ze de dingen die uw bedrijf kunnen bedreigen melden. Laat de hackers hacken en voorkom dat uw concurrenten de strijd winnen. ‘

Laat u het hacken liever over aan onze specialisten dan aan de concurrent? Vraag vandaag nog een vrijblijvende offerte aan of neem contact op met onze adviseur Edwin van Andel.

Meer weten over onze pentest diensten?

https://www.insitesecurity.nl/diensten/penetratietest/

 

 

Meer artikelen

Bekijk al het nieuws