Het verschil tussen een Pentest en Vulnerability Scan

Wat is het verschil tussen een Vulnerability Scan en een Pentest? Voor wie niet ingewijd is in de wereld van cybersecurity kunnen de verschillende diensten soms als algebra overkomen. In dit artikel leggen we daarom uit wat de Vulnerability Scan inhoudt en wat een Pentest is. Ook kijken we naar hoe die twee samenwerken.

Waarom een Vulnerability Scan?

Met alle positieve technologische ontwikkelingen nemen de risico’s ook toe. Volgens een rapport van de AIVD neemt de cyberdreiging ieder jaar toe. In 2018 werd ongeveer 30% van de grote bedrijven aangevallen. Vaak zijn dit pogingen en blijkt de hacker niet in staat om binnen te dringen. Regelmatig lukt dit echter ook wel. Afhankelijk van de toegepaste techniek worden ook andere bedrijven geraakt, bijvoorbeeld doordat een boekhoudprogramma is gehackt of e-mails die ongemerkt een bepaald virus verspreiden naar hun relaties.

Het blijkt dat er doorgaans meer dan een half jaar overheen gaat voordat een aanval wordt gesignaleerd. Dit betekent dat de aanvaller al potentieel een half jaar onopgemerkt in de systemen rond kan neuzen. Het is dus van wezenlijk belang dat er een adequate beveiliging is. Dit is niet slechts een firewall aanzetten, maar een gedegen veiligheidsbeleid hanteren dat periodiek wordt geüpdatet om bestand te zijn tegen de meest moderne hacktechnieken.

Daarom is het belangrijk om regelmatig een Vulnerability Scan uit te voeren om te zien waar de kwetsbaarheden in uw systemen zitten.

De vulnerability Scan

De Vulnerability Scan geeft dus inzicht in het beveiligingsniveau van uw IT infrastructuur. IT security specialisten testen ieder object dat zich op uw netwerk bevindt. Het kan gaan om printers, routers, servers, werkstations, enz. In principe wordt alles met een IP adres gecontroleerd tijdens een Vulnerability Scan.

Daarnaast wordt ook gescand op open poorten, wordt software onder de loep genomen en analyseren we op welke wijze en in welke mate de verschillende software zijn beschermd. Welke software staat bekend om welke kwetsbaarheden? Welke softwarepakketten zijn al eens al dan niet succesvol op de korrel genomen door cybercriminelen?

De test zelf bestaat uit een combinatie van automatische en handmatige tests. Op die manier kunnen de meest actuele technieken toegepast worden, waardoor een optimaal accuraat resultaat wordt behaald.

Onze aanpak

Iemand zei eens dat je kwaad met kwaad moet bestrijden. Dat klinkt wat cliché, maar er zit een kern van waarheid in. Om je tegen hackers te beschermen, moet je hackers inhuren. Daarom combineren we verschillende hacktechnieken om de verschillende onderdelen van uw IT infrastructuur binnen te dringen. Hierbij staat de veiligheid van uw systemen voorop, dus het is niet zo dat we uw systemen uitschakelen. U merkt niet dat wij bezig zijn (dus een echte hackaanval).

Door technieken toe te passen die hackers ook gebruiken kunnen wij niet alleen een overzicht geven van de zwakke plekken, maar ook concrete, operationele aanbevelingen doen om de beveiliging naar een hoger niveau te tillen. Meer informatie over deze 360-graden aanpak vindt u op onze pagina over het ethisch hacken.

De Vulnerability Scan omvat echter niet alleen indringende technieken. We kijken bijvoorbeeld ook naar uw beveiligingsbeleid en welke maatregelen zijn getroffen. Uw IT infrastructuur loopt niet alleen technische risico’s. Er zijn ook menselijke factoren in het spel. Denk aan personeel dat niet goed phishing mails herkent. We kijken ook naar het beleid daarop en geven ook daarvoor aanbevelingen en oplossingen, zoals een awareness training.

Wat is een Pentest?

Met een Pentest (penetratietest) achterhaal je het beveiligingsniveau op een bepaald punt binnen je IT infrastructuur. Onze ethische hackers vallen een bepaald punt aan waarvan we weten dat dit een risico is. Dat hebben we zojuist al achterhaald met de Vulnerability Scan.

In principe geldt één Pentest voor één object in het netwerk. Met een Pentest proberen we kort gezegd de beveiliging volledig te ondergraven. We kijken op welke wijzen we het object kunnen aanvallen en hoever we het netwerk kunnen binnendringen.

Door verschillende benaderingen te kiezen bij een Pentest, kunnen we alle kwetsbaarheden in kaart brengen. Onze gecertificeerde ethische hackers brengen in kaart wat de risico’s en gevolgen zijn en stellen een rapport op met aanbevelingen en praktische acties. Op die manier kan de beveiliging naar een hoger niveau worden gebracht.

Hoeveel garantie biedt een Pentest?

Het gevaar is dat, als we losse Pentests doen, verschillende zwakke plekken niet in kaart worden gebracht. Daarom is het goed dat u ons zoveel mogelijk loslaat en niet probeert te sturen. We raden het sterk af om alleen bepaalde punten in uw IT infrastructuur te testen, of bepaalde software te analyseren. Dit geeft een te beperkt beeld op. Door de focus op bepaalde systemen te leggen, worden andere kwetsbaarheden snel uit het oog verloren. Onze expertise stelt ons juist in staat om een complete beveiliging te bieden.

Daarom bieden Pentesten op zichzelf niet per definitie het inzicht waarnaar je mogelijk op zoek bent. Daarmee weten we alleen hoe we specifieke onderdelen op welke manieren kunnen hacken, maar dat zegt niets over de andere onderdelen binnen de IT infrastructuur.

Pentest vs. een holistische aanpak

Een ‘black-hat’ hacker is iemand die uw systemen hackt met kwade bedoelingen. Dat staat tegenover onze ethische hackers die uw systemen hacken om het juist nog beter te beveiligen. Onze ethische hackers zijn beter in staat om uw systemen te hacken dan een black-hat hacker. De reden daarvoor is dat wij kennis en toegang van binnenuit hebben. Een black-hat hacker moet het doen met de informatie die hij zelf kan verzamelen. Onze samenwerking met u stelt ons dus beter in staat om u te hacken en daarom kunnen wij uw IT structuur nog beter beveiligen.

Een hacker focust niet op de onderdelen die u goed beschermt heeft. Een hacker zoekt uw hele IT structuur af naar zwakke plekken. Daarom is het belangrijk dat er een combinatie van services is die een totaaloplossing bieden. En daarom is het ook belangrijk dat wij hetzelfde werken als een hacker.

Onze holistische aanpak werken we doorgaans uit in het IT Security Jaarplan. Dit is een dienst waarin we een op maat gemaakte aanpak leveren aan onze klanten. Het IT Security Jaarplan is eigenlijk een soort hack-cyclus gecombineerd met een P&E-cyclus. Dit gebruiken wij als fundament om een totaalbeveiliging aan te bieden.

Het bestaat uit verschillende diensten zoals de Vulnerability Scan, Red Teaming en Pentesten. Wij zijn benieuwd wat wij voor u mogen betekenen. Bent u ook benieuwd? Wij bieden een gratis ‘Secity Check’ aan waarbij we op een laagdrempelige wijze een beperkte scan doen.