Zo werkt een goede en ervaren hacker

Cqure Platformblog

Je kunt je domweg aan alle verkeersregels houden maar toch een ongeluk krijgen. Dit geldt ook in de wereld van informatiebeveiliging. Er zijn vele certificeringen en veel verschillende type audits. Allemaal kunnen ze bijdragen aan een betere bedrijfsvoering. Verschillende normen bieden veel diepgang op een onderwerp of gaan juist behoorlijk de breedte in maar kunnen nooit tot in de details doordringen.

Vaak krijg ik een opsomming van getroffen beveiligings maatregelen onder ogen met daarbij de vraag; "Hebben wij onze beveiliging nu op orde?". Het is dan belangrijk te weten wát je wilt beschermen en waartegen. Steeds vaker krijgen bedrijven en organisaties het besef dat enkel voldoen aan de regels nog geen garantie is dat derden er niet met de belangrijkste informatie vandoor kunnen gaan. Deze derden kunnen aanvallers zijn van buitenaf, of personeel van binnenuit.

Om de gestelde klantvraag goed te kunnen beantwoorden is er dan ook geen eenduidige aanpak. Ik kruip graag in de huid van de betreffende derde om te zien of ik deze belangrijke data zou kunnen stelen of compromitteren. Met andere woorden, als hacker val ik het bedrijf aan.

Uiteraard doe ik dat met enkele beperkingen omdat ik de schade, daar waar mogelijk, probeer te voorkomen en/of te beperken. Deze aanpak leidt elke keer weer tot een ander pad en een ander resultaat. Het is een behoorlijk creatief proces waarbij je voor elke getroffen maatregel een creatieve aanval moet bedenken, exact zoals een hacker dat zou doen.

Dit is dan ook de toegevoegde waarde van een penetratietest. Een audit wordt vaak gebruikt om de aanwezigheid van de verschillende maatregelen te kunnen vaststellen. Een penetratietest / ethical hack daarentegen, gaat tot het uiterste om de effectiviteit van de totale set aan maatregelen te testen.

Vaak kan ik mezelf toegang verlenen via een oud en vergeten systeem of een account waarvan niemand wist dat het nog bestond. Dit zijn over het algemeen de zwakste plekken van een organisatie, het plaatsen van een nog duurdere firewall of het uitvoeren van geavanceerde hardening op verschillende componenten lossen daarbij helemaal niets op. De hacker gaat niet de strijd aan met de meest geavanceerde maatregelen. De hacker zoekt naar een manier om deze maatregelen te omzeilen en de zwakste schakels te vinden.

Een gedegen diepgaande penetratiestest laten uitvoeren kan ook een behoorlijke kostenbesparing met zich meebrengen. Het is in veel gevallen helemaal niet nodig om de sterkste schakels nog sterker te maken. Daarop kun je dus vaak bezuinigen. Die besparing kan je gebruiken om een om ethical hacker in te huren en de zwakste schakels aan te versterken, deze zwakke schakels kan een goede ethical hacker met zijn test aanwijzen.