• Home
• Nieuws

Sander Meijering (Pentests.nl): Kwetsbaarheden en zwakke plekken blootleggen met continue scan

Geplaatst door CorporatieMedia op Friday 15 November 2024

Als woningcorporatie wil je de zekerheid hebben dat de stappen die je zet rond informatiebeveiliging, je ook écht veilig maken. Dat betekent continu grip houden op de zwakke plekken in je organisatie. Hoe doe je dat en welke rol is daarbij weggelegd voor een ‘vulnerability scan’? CorporatieGids.nl sprak erover met Sander Meijering, Ethical Hacker bij Pentests.nl.

“Vulnerability scanning – oftewel het automatisch scannen op kwetsbaarheden – is naast pentesten een belangrijk middel om de beveiliging van de IT-infrastructuur te waarborgen,” begint Sander het gesprek. “De pentesten die we voornamelijk uitvoeren zijn grondig maar ook een momentopname. We merkten dat er behoefte is aan constante monitoring die extra zekerheid brengt dat systemen veilig blijven.”

Kwetsbaarheden
De belangrijkste kwetsbaarheden in de corporatiesector verschillen volgens Sander niet veel van andere sectoren: “Het gaat voornamelijk om de zwakke plekken waardoor een aanvaller toegang kan krijgen die met het internet zijn verbonden. Vooral de systemen die worden gebruikt voor thuiswerken – zoals VPN’s of virtuele desktopomgevingen – zijn belangrijke doelwitten. Als een aanvaller toegang krijgt tot deze systemen, kan hij vaak ook het interne netwerk van de corporatie binnendringen wat tot grote problemen leidt.”

Zwakke plekken
Een vulnerabity scan legt die zwakke plekken bloot, zegt Sander: “Als de scanner aangeeft dat een systeem niet voldoet, verifiëren wij dat en wordt dat weergegeven in ons interactieve dashboard. Hier worden bevindingen gefilterd en gegroepeerd weergegeven, en biedt diverse grafieken en diagrammen om een duidelijk overzicht te geven van alle bevindingen. Zo ontstaat een continu inzicht in de huidige staat van de IT-infrastructuur van een organisatie.”

Prioriteit
De grootste uitdaging die Sander momenteel ziet bij organisaties met betrekking tot vulnerability scanning, is het bepalen van het daadwerkelijke risico van een gevonden kwetsbaarheid: “Organisaties krijgen veel data terug van de scanners, maar hebben vaak weinig inzicht in welke bevindingen direct moeten worden opgelost en prioriteit vragen. Als ethische hackers weten wij als geen ander wat er met een bepaalde kwetsbaarheid kan worden gedaan. Dat stelt ons in staat het daadwerkelijke risico nauwkeurig in te schatten en snel te bepalen of een kwetsbaarheid belangrijk is. Uit onze ervaring willen organisaties in één oogopslag zien of ze kwetsbaar zijn en welke stappen ze moeten zetten, daartoe stelt de scan en bijbehorend dashboard hen in staat.”

Stap naar de cloud
In de komende jaren ziet Sander steeds meer organisaties overstappen naar de cloud: “Bijvoorbeeld door gebruik te maken van Azure voor hun systemen. Dit betekent dat veel van deze systemen door misconfiguraties via het internet bereikbaar kunnen zijn, wat het aanvalsoppervlak vergroot. Daarnaast worden leveranciers zoals Microsoft met Azure een groter doelwit voor aanvallers die op zoek zijn naar kwetsbaarheden.”

Opkomst van AI
“Daarnaast zien we een toename in het gebruik van AI en vermoeden dat aanvallers dit in de toekomst steeds meer zullen inzetten voor of tijdens hackaanvallen. We merken bijvoorbeeld dat het uitvoeren van phishing-aanvallen al een stuk eenvoudiger is geworden met behulp van AI, maar we verwachten dat deze technologie bij daadwerkelijke hacks en scans gebruikt gaat worden. Daarom is het van belang dat wij blijven onderzoeken hoe wij AI kunnen gebruiken om dit soort aanvallen voor te zijn en eventueel zelf te implementeren in ons eigen vulnerability-scanproduct.”

Blijven controleren
“Hierdoor zijn twee zaken van belang: het afschermen van deze systemen van het internet via firewallregels en ‘whitelisting’ – het alleen toestaan van toegang voor specifieke gebruikers of systemen -, en het up-to-date houden van de software”, sluit Sander af. “Vulnerability scanning is hierbij een belangrijk hulpmiddel om de effectiviteit van deze maatregelen te blijven controleren.”

Bron: CorporatieMedia, Foto: Pentests.nl