7 vragen over ethisch hacken

Gepubliceerd op 09/03/2021 in Tech, tips & trics

7 vragen over ethisch hacken

Ethische hackers gebruiken dezelfde technieken als malafide hackers om de kwetsbaarheden in uw cyberbeveiliging bloot te leggen en te dichten. Sander Van der Borght en Stephen Corbiaux, ethische hackers bij Davinsi Labs vertellen.

1. Wat is ethisch hacken?

“Ethische hackers gaan op zoek naar de veiligheidslekken in websites, mobiele applicaties, en (draadloze) bedrijfsnetwerken”, vertelt Sander Van der Borght, ethisch hacker bij Davinsi Labs. “We gebruiken dezelfde tools en technieken als malafide hackers en rapporteren alle kwetsbaarheden die we vinden. Daarnaast voeren we eveneens phishingcampagnes uit om user-awareness op te bouwen en te meten. Eindgebruikers blijven een erg kwetsbare schakel. Op die manier helpen we bedrijven om zich tegen hackers met slechte bedoelingen te beschermen.”

2. Securityscanners of ethisch hacken?

“Het menselijk brein redeneert nog altijd beter dan een computer en kan ‘out-of-the-box’-denken”, legt Sander uit. “Automatische scanners houden geen rekening met de werking of de context van een applicatie. Ze zijn een meerwaarde, omdat ze op korte tijd veel assets en grote volumes kunnen scannen. Ze geven echter geen enkele garantie voor de kwaliteit en diepgang van de resultaten.

Wij zouden bijvoorbeeld een kwetsbaarheid kunnen vinden die ons toelaat om een gebruiker aan te maken met meer rechten dan oorspronkelijk toegelaten. Of dat we in staat zijn om bestellingen of facturen van andere personen in te kijken. Dit soort kwetsbaarheden zijn zeer ernstig en noemen we ‘business logic vulnerabilities’. Een scanner vindt dit soort kwetsbaarheden niet en hierdoor blijven heel wat zaken onder de radar. Als u compliant wil zijn, moet u penetratietesten laten uitvoeren.”

Het zegt genoeg dat de top 10 van bedreigingen van 10 jaar geleden nu nog altijd brandend actueel is.

Stephen Corbiaux, ethisch hacker en Solution Lead Vulnerability Management bij Davinsi Labs

author

3. Uit welke stappen bestaat zo’n proces?

  1. Er worden duidelijke afspraken gemaakt over wat men precies wil laten testen.
  2. De penetratietest(en) worden opgestart. Alle functionaliteiten van een applicatie worden onder de loep genomen.
  3. In een gedetailleerd rapport worden alle bevindingen gedocumenteerd: welke impact ze hebben en hoe waarschijnlijk het is dat ze misbruikt worden. Bij kritieke kwetsbaarheden wordt onmiddellijk contact opgenomen en begeleiden we de klant om deze snel op te lossen.

4. Wanneer laat u uw bedrijf best ethisch hacken?

“Eén test geeft helaas geen sluitende garantie dat uw beleid waterdicht is. Elke dag vinden hackers nieuwe tools en technieken uit. Dus wat vandaag veilig is, kan morgen een kritieke kwetsbaarheid vertonen. Een penetratietest moet daarom ook regelmatig gebeuren. U kan best al in een vroege ontwikkelingsfase starten om de code van uw applicatie te laten testen en dan liefst bij elke grote verandering (van code en/of infrastructuur). Zo lost u problemen op voor ze zich stellen.”

Ook voor kmo’s is ethisch hacken onmisbaar in een goede securitystrategie.

Sander Van der Borght, ethisch hacker bij Davinsi Labs

author

5. Wat met nieuwe technologieën?

“Nieuwe technologieën zijn niet moeilijker te hacken dan bestaande”, zegt Stephen Corbiaux, ethisch hacker en Solution Lead Vulnerability Management bij Davinsi Labs. “De software blijft ontwikkeld worden door mensen en mensen maken fouten. Het zegt genoeg dat de top 10 van bedreigingen van 10 jaar geleden nu nog altijd brandend actueel is. Maar als er 1 categorie enorm kwetsbaar is, is het IoT. Het aantal slecht beveiligde toestellen en toestellen die na 2 tot 3 jaar geen beveiligingsupdate meer krijgen, is niet te tellen.”

Niet alleen slecht beveiligde IoT-toestellen zorgen voor grote risico’s. Wij brachten de securitytrends en -bedreigingen van 2021 voor u in kaart.

Lees de 13 securitytrends

6. Kunnen alleen grote bedrijven zich laten hacken?

“Neen, ook voor kmo’s is ethisch hacken onmisbaar in een goede securitystrategie. Als eerste stap wordt er gekeken naar de kroonjuwelen en de infrastructuur die online staan. Wanneer een organisatie voldoende securitymaturiteit heeft in zijn externe omgeving, worden interne assets getest. Dit kan door penetratietesten op maat, zelfs voor de kleinste infrastructuur of applicatie.”

7. Hebt u voorbeelden uit de praktijk?

“Voor een ziekenhuis deden we een red team-oefening. Bij zo’n oefening krijgen we carte blanche, hacken we de hele organisatie met alle mogelijke technieken en proberen we fysiek gebouwen binnen te dringen. We slaagden bij het ziekenhuis erin om hun toegangsbadges te kopiëren en zo de toegangscontrole te omzeilen en in te breken in hun datacenter en op hun CCTV-kanaal.

In een meer gerichte opdracht bij een bedrijf dat kritieke infrastructuur beheert, kregen we toegang tot het nummerplaatsysteem, konden we de parking oprijden en onze badge opwaarderen met alle mogelijke rechten. Dit soort van toegang is voor de criminele onderwereld van goudwaarde en mag dus niet onderschat worden.”

De gouden sleutel: een degelijk securitybeleid

“Als u gehackt wordt, is het te laat. Het enige wat u dan nog kan doen, is voldoende bewijsmateriaal verzamelen en de aanvallers trachten te stoppen. We zien te vaak dat een succesvolle aanval het resultaat is van een verwaarloosde basis: geen patchmanagement of geen filtering van e-mailbijlagen, een te beperkt besef bij eindgebruikers van de gevaren. Alles begint met de uitwerking van een degelijk securitybeleid, waarbij het proactief testen door ethical hackers van uw online infrastructuur en applicaties alsook de kwetsbaarheden van eindgebruikers, essentieel is om de tegenstander net dat stapje voor te zijn.”

Cybersecurity België versterken

Om op de hoogte te blijven van de laatste ontwikkelingen in cybercriminaliteit is Proximus lid van de Cyber Security Coalition. Stephen: “De Cyber Security Coalition is een groepering van Belgische bedrijven, academische instellingen en overheden. Deze komt regelmatig samen om de laatste trends, tools en bevindingen te bespreken. Zo kunnen ze hun ervaringen rond cybercriminaliteit sectorbreed delen.”

Lees het artikel

Davinsi LabsNieuw venster is een Proximus Accelerator en helpt bedrijven Digital Service Excellence te bereiken door gespecialiseerde Security Intelligence en Service Intelligence oplossingen. In de huidige digitale wereld verwachten klanten dat hun gegevens uitermate veilig beheerd worden én wensen ze een snelle, vlekkeloze customer experience. Als Managed Services Provider biedt Davinsi Labs een portfolio aan oplossingen om Digital Service Excellence te realiseren voor de meest bedrijfskritische applicaties en services.

One

One is het ICT-vakblad van Proximus voor CIO’s en ICT-professionals van grote en middelgrote ondernemingen. 

Andere artikels van One