Security Quickscan / Kwetsbaarhedenscan

Binnen iedere organisatie, groot of klein, leeft de vraag of het bedrijfsnetwerk (de ICT infrastructuur) wel voldoende veilig is. U leest regelmatig in het nieuws dat er dingen misgaan, maar in de organisatie is er vaak weinig tijd om kritisch te kijken naar de staat van de informatiebeveiliging. Medewerkers worden voortdurend geleefd door de waan van de dag, en de focus ligt primair op de productiviteit en niet op de kwaliteit van de werkomgeving van waaruit deze wordt gerealiseerd. Het is bovendien makkelijker om er vanuit te gaan dat de organisatie niet interessant is voor cybercriminelen (de bekende ‘hier valt niks te halen’ uitspraak). En daarnaast zegt die ene systeembeheerder dat het allemaal prima is geregeld. En hij of zij lijkt er wel verstand van te hebben. Of toch niet?

Baaten ICT Security is van mening dat het niet de vraag is “of” uw organisatie slachtoffer wordt van cybercriminelen, maar “wanneer“. Als een cybercrimineel het echt op uw organisatie heeft gemunt, en voldoende middelen tot zijn beschikking heeft, dan bereikt deze vroeg of laat toch zijn doel. Kortom, 100% veiligheid is een utopie, maar dat wil niet zeggen dat u niks kunt doen. Vergelijk het met een klassieke woninginbraak: als een inbreker koste wat kost binnen wil komen, dan lukt dat. Maar dat wil niet zeggen dat u daarom de deur niet meer hoeft te sluiten wanneer u weggaat. En omdat het merendeel van de inbrekers het niet specifiek hebben voorzien op één woning, maar gelegenheidsinbrekers zijn die ’s avonds een rondje door de wijk wandelen, is de uitdaging om de spreekwoordelijke drempel (de moeilijkheidsgraad van een potentiële inbraak) hoog genoeg te maken. De extra moeite die daardoor nodig is voor een succesvolle inbraak, zorgt ervoor dat de criminele businesscase simpelweg niet meer interessant is. En dan zijn de buren de klos, want hun deuren waren nog wel voorzien van dat oude type sloten.

In de basis werkt het met cybercriminelen ook zo. De meeste hebben het niet specifiek op een organisatie of persoon gemunt, maar schieten met hagel en pakken wat ze pakken kunnen bij degene die het meest kwetsbaar zijn. En daar kunt u zich prima tegen beschermen. Door het uitvoeren van een security quickscan maakt Baaten ICT Security inzichtelijk welke verbeterkansen er liggen.

Zoeken naar kwetsbaarheden

Een populaire vorm van ethisch hacken is de security quickscan, ook wel kwetsbaarhedenscan genoemd. Uw bedrijfsnetwerk, of een gedeelte ervan, wordt geïnspecteerd op de aanwezigheid van informatiebeveiligingskwetsbaarheden. Op basis van een analyse van de kwetsbaarheden wordt er per kwetsbaarheid een verbeteradvies gegeven, en worden de adviezen geprioriteerd ten aanzien van de hoogte van het risico. De scope en diepgang van het onderzoek zijn bespreekbaar, maar bij een quickscan is de inspectieperiode doorgaans begrensd tot maximaal één werkdag. De focus ligt daardoor op de kwetsbaarheden die het makkelijkst te misbruiken zijn: het zogenaamde laaghangende fruit.

Met beperkte voorkennis van de omgeving, worden verschillende controles uitgevoerd binnen uw bedrijfsnetwerk. Zo wordt er bijvoorbeeld gekeken naar wachtwoordgebruik, hardening van systemen, configuratie van beveiligingsopties, patchmanagement, netwerkzonering, backups, en autorisaties.

De ervaring leert dat daar waar gegraven wordt, ook bijna altijd wat wordt gevonden. Veel voorkomende reacties van relaties zijn dan ook: “Ik ging er vanuit dat onze leverancier dit soort zaken goed had geregeld”, “Ik dacht dat de beveiliging al door de standaard installatie goed stond ingesteld”, “Ik wist niet dat dit bestond en van invloed was op onze beveiliging”.