Als je weinig aandacht besteedde aan security kon je daar tot een paar jaar geleden mee wegkomen als je geluk had. Inmiddels komen security-incidenten dermate vaak en ingrijpend voor in allerlei bedrijfstakken, dat het voorkomen van incidenten overal wel op de radar staat. Ook bij bedrijven die er traditioneel weinig omkijken naar hadden. Hierdoor besteden nu meer organisaties tijd aan het testen van hun preventieve beveiligingsmaatregelen.
Bij Securify zien we dit terug in de manier waarop we onze klanten helpen bij het kiezen van de meest effectieve beveiligingsteststrategie. Dit is meestal in de vorm van een penteststrategie. De penteststrategie is een combinatie van testen op het niveau van code, applicatie, infrastructuur of organisatie, zoals we in dit artikel uitleggen.
Bottom line: vroeg en continu testen geeft u gemoedsrust omdat dit resulteert in een veerkrachtiger fundament voor uw organisatie.
Test op codeniveau
Als uw organisatie enige vorm van code produceert (waaronder ‘infrastructuur als code) of laat produceren door een derde partij, moet u dit absoluut testen. Er wordt tegenwoordig meer getest op dit niveau, omdat het real-time feedback geeft over de kwaliteit van de code en een snelle doorlooptijd van fixes mogelijk maakt.
Tools zijn veelal gebaseerd op regels en pikken meestal geen fouten op in de zogenaamde business logic of fouten die applicatiespecifiek zijn. Reviews door mensen vullen dit gat. Traditionele volledige code reviews hebben nut bij periodieke code releases, bijvoorbeeld voor firmware. Passender voor de meeste webapplicaties zijn agile code reviews die geïntegreerd zijn in een ontwikkelingsproces.
-
Vroegtijdige feedback is kostenbesparend. Het helpt ontwikkelaars en verkort hun tijd om een issue op te lossen.
-
Directe feedback over codekwaliteit is effectiever dan trainingen over veilig ontwikkelen.
-
Er zijn minder testen nodig vlak voor productie, die door betere code ook minder bevindingen opleveren.
Test op applicatieniveau
Dit is van oudsher de plek waar organisaties periodiek web- of mobiele applicaties, API's, embedded of IoT-apparaten testen. Dit type testen heeft nog steeds nut omdat ze als controle fungeren. Bijna alle applicatietesten die we uitvoeren zijn whiteboxtesten, waarbij de testers volledige beschikking hebben over configuratie-informatie, code en andere aspecten van de tet testen omgeving. Dit type test is vele malen effectiever om kwetsbaarheden te ontdekken dan blackboxtesten.
- Een applicatietest spoort zwakke punten op in een full-stack productie-omgeving die een codereview niet kan vinden.
- Afhankelijk van de wijzigingen in uw code, kan de intensiteit en frequentie worden verhoogd of verlaagd.
- Als onderdeel van defense in depth een periodieke aanvulling op Agile codereviews.
Test op infrastructuurniveau
Testen op niveau van infrastructuur is enorm veranderd. Vroeger waren periodieke penetratietesten en het regelmatig scannen op kwetsbaarheden de norm. Deze zijn nu zo goed als samengekomen: organisaties kiezen nu voor een combinatie van continu monitoren op kwetsbaarheden en continue penetratietesten. Dit resulteert in een combinatie van actiepunten op korte en lange termijn.
- Identificeer zowel quick wins als structurele verbeterpunten in kernprocessen zoals verandermanagement en identiteitsmanagement.
- Een infrastructuurtest kan uitwijzen dat meerdere bevindingen met een lager risico bij elkaar opgeteld behoorlijk urgent zijn om op te lossen.
- Cloud en On-prem worden gelijk behandeld, want aanvallers doen dat ook.
Samenvattend: test op organisatieniveau
Voor een allesomvattende beveiligingstest van uw organisatie is de juiste keuze een beveiligingstest waarbij alles op elke manier mag worden aangevallen, net zoals echte aanvallers dat doen. Vroeger was de meest voorkomende vorm een Red Teamoefening, maar steeds meer organisaties kiezen voor de effectievere Purple variant met actieve deelname van verdedigers.
Purple heeft bijna altijd de voorkeur boven Red Teaming. Daarbij moet dreigingsinformatie gebruikt worden om de oefening realistisch te maken.
Penetratietesten op basis van een scenario zijn geschikter voor kleinere organisaties of in het geval een hogere testfrequentie gewenst is. De ideale frequentie van Purple teamoefeningen hangt af van uw volwassenheidsniveau, de grootte van uw organisatie en het vermogen om veranderingen door te voeren. We zien alles van maandelijks tot eens in de drie jaar.
Ben je op zoek naar meer informatie over het opzetten van je eigen penteststrategie? Lees onze Case Study met De Vereende hier of neem contact op via de links hieronder.