Factsheet Penetratietest Informatievoorziening
‘Since the proof of the pudding is in the eating’
DUIJNBORGH - FORTIVISION Stadionstraat 1a ● 4815NC Breda +31 (0) 88 16 1780 ● www.db-fortivision.nl ●
[email protected]
FortiVision kent een aantal verschillende verschijningsvormen van “penetratietest”. Deze dienstbeschrijving geeft een algemene beschrijving van penetratietesten. De diensten “Penetratietest Infrastructuur”, “Penetratietest Webapplicaties” en “MysteryMan” worden in seperate bijlagen beschreven.
Penetratietest Informatievoorziening Door het nemen van een aantal beveiligingsmaatregelen denken organisaties doorgaans een gewenst beveiligingsniveau te halen, maar is dat in de praktijk ook zo? Een onafhankelijke, deskundige partij kan uitsluitsel geven. Via een grondige penetratietest komen onverwachte hiaten en eventueel resterende kwetsbaarheden aan het licht. Na het opvolgen van de uit de penetratietest voortkomende beveiligingsmaatregelen kan het gewenste niveau alsnog worden bereikt. Wel zo’n veilig gevoel … Hackers en de bedreiging die zij vormen zijn recentelijk veelvuldig het onderwerp van publicaties in mainstream media. Naar aanleiding van een inbraak in computersystemen van een groot bedrijf of een overheidsinstantie volgen vaak al snel sensationele berichten. Het is dus niet verwonderlijk dat bedrijven meer zekerheid wensen over de mate waarin zij zijn beveiligd tegen aanvallen van kwaadwillenden en welke zwakheden kunnen worden geïdentificeerd (en vermeden). Een van de middelen om meer zekerheid te krijgen is een penetratietest. Een dergelijke test bootst de activiteiten van een hacker na om inzicht te krijgen in de beveiliging van de informatievoorziening 1.
1
FortiVision hanteert een ruime definitie van de term ‘informatievoorziening’. Het kan gaan om één systeem, zoals een website, maar ook om een afdeling inclusief medewerkers, processen en systemen als doelobject, zoals de afdeling ‘Administratie’. Duijnborgh-FortiVision BV
Factsheet Penetratietest Informatievoorziening 2.0
Pagina 2 van 6
Wat is een penetratietest? Een penetratietest wordt door velen gezien als een geautoriseerde ‘hack’. Een hack is echter al geslaagd wanneer een beveiligingslek is gevonden waarmee de aanvaller zijn doel heeft kunnen bereiken, terwijl een PTI pas is geslaagd wanneer zoveel mogelijk beveiligingszwakheden en de effectiviteit van de getroffen maatregelen in kaart zijn gebracht. Of werkelijke penetratie van het doelsysteem of achterliggende systemen plaats heeft gevonden is van minder groot belang; ook wanneer de conclusie is dat er gèèn ernstige kwetsbaarheden aanwezig zijn heeft de penetratietest haar doel bereikt. De rapportage van de penetratietest dient duidelijk weer te geven welke aanvalspogingen en tests zijn uitgevoerd, welke zwakheden daarbij zijn aangetroffen, welk risico zij inhouden en welke acties dienen te worden ondernomen om deze op te heffen. Voorafgaand aan een penetratietest wordt in overleg met de opdrachtgever een aantal onderzoeksvragen opgesteld. Zowel de uitvoering van de penetratietest als de rapportage ervan zijn er op gericht deze vragen te beantwoorden. Een penetratietest omvat daarom veel meer dan alleen een ‘geautoriseerde hack’. Een ander verschil tussen een penetratietest en een hack kan de informatie zijn die vooraf bekend is bij de uitvoerder van de tests. Deze vooraf beschikbaar gestelde informatie kan netwerkadressen, namen van computersystemen (hostnamen) en eventueel telefoonnummers van inbelfaciliteiten en instellingen van netwerkcomponenten omvatten. Een hacker zal in het algemeen voldoende tijd hebben om deze informatie te verzamelen en zal daarin uiteindelijk meestal goed slagen. Het vooraf beschikbaar stellen van bepaalde informatie tijdens een penetratietest is daarom tijdbesparend en zal de efficiëntie van de test vergoten. In bijzondere gevallen kan het echter gewenst zijn in het geheel geen informatie vooraf beschikbaar te hebben, om zodoende tevens te beoordelen of deze informatie op eenvoudige wijze te verkrijgen is. Deze verschillen maken dat de goede uitvoering van een penetratietest gebaat is bij een eenduidige, procesmatige aanpak. Indien van tevoren vaststaat aan welke randvoorwaarden dient te worden voldaan, welke informatie van tevoren beschikbaar dient te zijn en welke werkzaamheden zullen worden uitgevoerd, kan een penetratietest efficiënt en effectief worden uitgevoerd, ondanks het feit dat verschillen tussen in gebruik zijnde informatiesystemen zeer groot zijn. Een penetratietest is ook iets anders dan een audit. Bij een penetratietest vindt werkelijke verificatie plaats van het functioneren van beveiligingsmaatregelen. Dit in tegenstelling tot een audit of review waarbij wordt gekeken naar de technische configuratie, instellingen en de kwaliteit van het beheer van het informatiesysteem.
Duijnborgh-FortiVision BV
Factsheet Penetratietest Informatievoorziening 2.0
Pagina 3 van 6
Verschillende soorten penetratietesten De exacte aanpak van een penetratietest is erg afhankelijk van het gekozen doelobject. Penetratietesten kunnen worden uitgevoerd op netwerken, (web-) applicaties en zelfs op gebouwen. FortiVision maakt een onderscheid tussen de penetratietesten met verschillende doelobjecten: 1. Penetratietest op Infrastructuur Het doelobject kan hier de gehele interne infrastructuur zijn, maar ook het deel van de infrastructuur dat van buitenaf kan worden benaderd. Met infrastructuur worden de in het betreffende deel van het netwerk aanwezige netwerkcomponenten, servers en werkstations bedoeld. Een penetratietest op de externe infrastructuur geeft een goed beeld van de mogelijkheden die kwaadwillenden hebben om van buitenaf toegang te krijgen tot uw netwerk, systemen of informatie. De penetratietest op het interne netwerk geeft daarentegen een goed beeld van wat een kwaadwillende die al toegang heeft tot uw netwerk kan bereiken. Kwaadwillenden komen immers niet altijd van buitenaf; ook bezoekers, externen en uw eigen werknemers kunnen een bedreiging vormen. Meer informatie over deze penetratietesten is opgenomen in de aanvullende dienstbeschrijving Penetratietest op Infrastructuur. 2. Penetratietest op Webapplicaties Vaak bevatten webapplicaties vertrouwelijke informatie of zijn ze gekoppeld aan interne systemen. Doordat deze applicaties veelal via internet beschikbaar worden gesteld vormen ze een interessant doelwit voor kwaadwillenden. Webapplicaties worden vaak voor een specifieke opdrachtgever ontwikkeld, waardoor eventueel aanwezige kwetsbaarheden niet snel door andere gebruikers zullen worden opgemerkt en verholpen. Door een penetratietest op uw webapplicatie uit te laten voeren krijgt u inzicht in de aanwezige beveiligingsproblemen, het functioneren van getroffen beveiligingsmaatregelen en de impact die dit kan hebben. In de aanvullende dienstbeschrijving Penetratietest op Webapplicaties is meer informatie over deze dienst te vinden. 3. MysteryMan Een hele andere vorm van penetratietesten zijn die waar de doelobjecten geen geautomatiseerde systemen maar mensen en/of gebouwen betreffen. Kwaadwillenden kunnen immers niet alleen uw vertrouwelijke informatie achterhalen door zich toegang te verschaffen tot uw informatiesystemen, maar ook door fysiek uw kantoorpanden te betreden en de informatie daar op te zoeken of zelfs door het vertrouwen van uw medewerkers te winnen en er vervolgens brutaal om te vragen. De MysteryMan is een persoon die controleert in hoeverre dit mogelijk is, waardoor kan worden vastgesteld hoe goed uw fysieke beveiliging is en hoe bewust uw medewerkers met vertrouwelijke informatie om gaan. Voor de MysteryMan is een eigen dienstbeschrijving opgesteld.
De rapportage De resultaten van de penetratietest worden opgeleverd in een rapport, bestaande uit een managementsamenvatting, inleiding (kaderstelling), bevindingen, conclusies en aanbevelingen. FortiVision beoogt haar rapporten zodanig op te stellen dat ze voor niet-technisch onderlegde personen goed
Duijnborgh-FortiVision BV
Factsheet Penetratietest Informatievoorziening 2.0
Pagina 4 van 6
leesbaar zijn, maar zeker goed bruikbaar om eventuele technische problemen te verhelpen. In een managementsamenvatting wordt kort en begrijpelijk weergegeven wat er is getest, wat de globale bevindingen zijn en, indien van toepassing, met welke inspanning eventuele tekortkomingen kunnen worden verholpen. Vervolgens worden de bevindingen van de uitgevoerde penetratietest weergegeven. Hierbij wordt geen opsomming gegeven van elk aangetroffen systeem met de daarop al dan niet aanwezige beveiligingsproblemen, maar worden beveiligingsproblemen gegroepeerd per getest onderdeel. Het oplossen van de beveiligingsproblemen vraagt, zeker op infrastructuurniveau, een integrale aanpak waarmee wordt voorkomen dat snel verholpen beveiligingsproblemen weer terugkomen. Vervolgens worden de conclusies beschreven die uit de bevindingen kunnen worden getrokken. De aanbevelingen worden op basis van de bevindingen geprioriteerd opgenomen in de rapportage. Bij de prioriteitstelling wordt rekening gehouden met de ernst van het aangetroffen beveiligingsprobleem en de inspanning en eventuele kosten van het verhelpen ervan.
Methodiek De penetratietesten van FortiVision infrastructuren en webapplicaties zijn gebaseerd op de internationaal erkende standaard Open Source Security Testing Methodology Manual (OSSTMM). Door het hanteren van deze methodiek wordt een waarborging gecreëerd dat het netwerk op alle binnen de scope van het onderzoek vallende beveiligingsproblemen wordt getoetst. De bevindingen van penetratietesten die volgens deze methodiek zijn uitgevoerd worden over het algemeen door auditende partijen geaccepteerd, wat vaak niet het geval is bij penetratietesten die niet volgens een vastgelegde methodiek worden uitgevoerd.
Kwalificatie FortiVision heeft een ruime ervaring met de uitvoering van penetratietesten, zowel gericht op de beveiliging van een ICT infrastructuur, applicaties alsook gebouwen (fysieke penetratietesten in de vorm van de dienst MysteryMan). De penetratietesten worden uitgevoerd door consultants die kunnen putten uit een zeer ruime ervaring (meer dan 10 jaar), en hebben een diepgaande kennis van zowel de theorie als de praktijk achter de verschillende beveiligings- en aanvalstechnieken. Doordat de consultants van FortiVision met grote regelmaat met (soms zeer) vertrouwelijke informatie werken, weten zij hoe zij hier mee om dienen te gaan. Alle consultants hebben een geheimhoudingsverklaring getekend die ook betrekking heeft op informatie verkregen bij opdrachten van opdrachtgevers. Een geheimhoudingsverklaring tussen FortiVision en haar opdrachtgevers is standaard opgenomen in onze algemene voorwaarden.
Duijnborgh-FortiVision BV
Factsheet Penetratietest Informatievoorziening 2.0
Pagina 5 van 6
Meer informatie Gebruik de onderstaande gegevens voor het stellen van vragen via telefoon of email:
Adres :
Stadionstraat 1a 4815NC Breda
Telefoon: Fax:
088 - 160 1780 088 - 160 1790
E-mail: Website:
[email protected] http://www.db-fortivision.nl
Meer uitgebreide vragen laten zich het beste in een persoonlijk gesprek beantwoorden. Neem gerust contact met ons op voor het maken van een afspraak.
Duijnborgh-FortiVision BV
Factsheet Penetratietest Informatievoorziening 2.0
Pagina 6 van 6