Cybersecurity is vandaag de dag een noodzaak en relevanter dan ooit. ”Pentesting” of penetratietesten zijn veruit het populairste initiatief dat bedrijven ondernemen om hun cybersecurity te verbeteren. Het proces van de juiste pentestselectie en het correct opstarten van pentesten gaat echter gepaard met enkele uitdagingen. Uitdagingen die resulteren in een ineffectief security testbeleid, verborgen risico's en beveiligingslekken.
De grootste uitdagingen
Voortdurend veranderende omgevingen
Agile zijn is een onvermijdelijke eigenschap in softwareontwikkeling. Je moet snel kunnen reageren op veranderingen in de markt, met snelle updates van je product als gevolg. Deze snelle updates gaan echter vaak gepaard met bijhorende beveiligingsproblemen.. Zo zijn snelle releasecycli moeilijk bij te houden voor penetratietests, aangezien deze even snel moeten schakelen. Hoe je als bedrijf omgaat met snel veranderende omgevingen en het bepalen welke risico’s je wel of niet wil nemen, kan al snel een grote uitdaging zijn.
Snelle groei
Hoe sneller een bedrijf groeit, hoe groter en interessanter het als doelwit wordt. Pentesten bijgevolg aanpassen kan aanvoelen alsof je een vliegtuig bouwt terwijl het al vliegt. Volgens Help Systems voert 42% van de respondenten van hun onderzoek slechts één of twee keer per jaar pentesten uit. Dit wijst op een schrijnend gebrek aan hertesten en op veel minder zichtbaarheid dan nodig is.
Cyberdreigingen evolueren
De snelheid waarmee de methodes van cyberaanvallen ontwikkelen, is schokkend. Zelfs door het tempo van de penetratietesten op te drijven, blijven bedrijven problemen ondervinden. Het is dan ook essentieel om de kennis, die er intern nodig is, continu op peil te houden.
Tekort aan Cybersecuritysexpertise
Binnen kleine, interne beveiligingsteams is de kennis van de nieuwste aanvalstechnieken vaak schaars en leveren ze eigenlijk geen accuraat beeld op van de algemene beveiliging. Sommige organisaties worstelen dan weer met een vertrouwensprobleem wanneer zij een kleinere subset van researchers inschakelen.
Sándor Incze, CISO bij CM.com:
“Niet alle pentesters zijn gelijk. Het is heel moeilijk om te bepalen of de pentester, die je aanneemt, goed is.”
Is de oplossing nabij?
De laatste jaren zijn er verschillende nieuwe manieren van security testing in opmars, zoals bug bounty en Pentesting-as-a-Service (PTaaS).
Pentesting-as-a-Service (PTaaS) geeft het oude pentesting-format een broodnodige update. Het biedt een efficiënte, schaalbare en persoonlijke manier aan die voldoet aan de behoeften van een modern bedrijf. Bug bounty biedt dan weer de mogelijkheid om continue, en op een enorme schaal, jouw applicaties te laten testen door ethische hackers.
Met zoveel verschillende en nieuwe cybersecurity oplossingen op de markt, zoals Pentesting-as-a-Service en bug bounty, zie je vaak het bos door de bomen niet. Daarnaast heb je verschillende cybersecurity mythes. Zo zouden bug bounty programma’s rechtstreeks concurreren met penetratietests. Laten we deze meteen ontkrachten:
Bug bounty programma’s concurreren niet met penetratietesten. Ze voorzien in verschillende behoeften, maar spelen allebei een sleutelrol in de algemene evolutie van een beveiliging. Het is veel correcter om te zeggen dat ze elkaar aanvullen en andere voordelen bieden in verschillende gebieden.
Er zijn bijvoorbeeld meerdere redenen waarom een bedrijf voor Pentesting-as-a-Service kiest in tegenstelling tot een bug bounty programma. Dit zijn de drie meest voorkomende:
- Misschien staat het beveiligingstraject van een product of platform nog in de kinderschoenen, en is het nog niet veel getest. Waardoor er waarschijnlijk veel kwetsbaarheden in vervat zitten. In dit geval zou een volledige, publieke bug bounty te veel van het goede zijn. Een penetratietest is vaak meer dan voldoende in eerste instantie om zo voor de hand liggende fouten aan te pakken.
- Of misschien wil men enkel de beveiligingsinstellingen van een nieuwe module bekijken. Ook dan is het PTaaS resultaat voldoende om de huidige staat van beveiliging te checken en te onderzoeken welke tests er in de toekomst nodig zullen zijn.
- Sommige bedrijven moeten aan bepaalde beveiligingsnormen voldoen binnen een specifieke deadline. PTaaS stelt het mogelijk om een verifieerbaar bewijs van de beoogde norm voor te leggen.
Intigriti, het grootste crowdsourced security testing platform van Europa met klanten zoals Intel en Visma, heeft deze tendens opgepikt en lanceerde onlangs Hybrid Pentesting, hun interpretatie van de ultieme Pentesting-as-a-Service.
Intigriti’s Hybrid Pentesting is een eenvoudige en kostenefficiënte methode van PTaaS die gebruik maakt van de unieke expertise van hacking communities. Door een bug bounty beloningsaanpak op pentesting toe te passen, is de impact veel groter. Deze researchers zijn immers enorm gemotiveerd om kwetsbaarheden met grote impact te vinden.
Betalen voor impact
Langdurige processen kunnen veel geld kosten, maar bij hybrid pentests betaalt men enkel voor de behaalde resultaten. Door de impact van de kwetsbaarheid recht evenredig te koppelen aan de beloning voor het opsporen, zijn hackers gemotiveerd om het onderste uit de kan te halen. Dit maximaliseert het resultaat voor het bedrijf en resulteert vaak in:
- Korte doorlooptijd en vereenvoudigde workflows. Je kan al een beveiligingstest opstarten met een doorlooptijd van doorgaans 2 tot 3 weken. Het Intigriti platform is zodanig gestroomlijnd dat je snel kan opstarten en alles volledig kan beheren.
- Dynamische en volledig aanpasbare testdekking. Jij bepaalt hoe de onderzoekers de pentest uitvoeren. Zij kunnen daarbij jouw methodologie volgen of hun creatieve aanpak de vrije hand geven.
- De juiste vaardigheden voor jouw projectvereisten. Hybrid Pentesting geeft je toegang tot het ongeëvenaarde kunnen van Intigriti’s voltallige ethische hacking gemeenschap. Intigriti selecteert onderzoekers op basis van hun kennis en expertise, zodat jouw project krijgt wat het nodig heeft.
- Gestroomlijnde communicatie en transparantie van de resultaten. Het Intigriti platform laat toe om rechtstreeks te communiceren met de door jou geselecteerde onderzoekers. Alle vorderingen en resultaten worden live weergegeven.
Kortom, Hybrid Pentesting levert op waar traditionele pentesten tekortschieten. Snelheid en impact zijn de grootste voordelen die je krijgt door een beroep te doen op de groepsexpertise van een hacker community.
Starten met Hybrid Pentesting
Intigriti is hét toonaangevende Europese platform voor alles-in-één oplossingen op vlak van cybersecurity, en biedt zowel PTaaS als private en publieke bug bounty programma’s aan. De expertise van Intigriti’s hacking community en het gebruiksvriendelijke platform stellen organisaties in staat om het risico op een cyberaanval te verminderen door het netwerk van Intigriti’s ethische hackers toe te laten hun digitale assets voortdurend te testen op kwetsbaarheden. Meer weten over Hybrid Pentesting of meteen aan de slag gaan? Kijk dan op https://intigriti.com of ga naar https://www.intigriti.com/landing/hybrid-pentesting-campaign
Lees meer over Hybrid Pentesting op de website van Intigriti: https://www.intigriti.com/landing/hybrid-pentesting-campaign