Nulmeting en terugkerende pentesten: cruciaal voor de beveiliging van jouw organisatie.
30/04/2023
In december 2022 werd de stad Antwerpen slachtoffer van een grote cyberaanval met malware. Het Nieuwsblad kopte Stad Antwerpen zit met de handen in het haar na grote cyberaanval: Als de deuren in het slot vallen, weten we niet of we ze nog open krijgen . IT-voorzieningen zoals het aanvragen van vergunningen en het elektronisch betalen in musea waren niet meer mogelijk, en tot de dag van vandaag geeft de stad Antwerpen een dagelijkse update op haar website over welke IT-voorzieningen nog niet werken.
Hoewel Resillion (voorheen Eurofins Cyber Security) dit specifieke geval als buitenstaander niet inhoudelijk kan beoordelen, heeft het wel overeenkomsten met de situatie die wij in de praktijk bij onze klanten zien. Organisaties hebben geen overzicht van de informatiebeveiligingsrisico's die zij lopen. Ze zijn zich ervan bewust maar weten niet tot een concreet en effectief verbeterplan te komen, of ze denken dat risico's zijn verholpen zonder dit in de praktijk te (laten) checken. En waar dan te beginnen met dit te verbeteren?
Nulmeting
Vanuit het gedachtengoed dat een status van de beveiliging en de mutaties leiden tot een nieuwe status is het natuurlijk niet verkeerd om zowel de status als de mutaties te onderwerpen aan allerlei beheer- en wijzigingsprocessen die zijn vermeld in de good practices. Resillion adviseert organisaties dan ook hun hardware- en softwarewijzigingen regelmatig te laten testen door onafhankelijke interne en/of externe beveiligingsteams. Dit kan in de vorm van een penetratietest waarbij de scope de gehele infrastructuur omvat, maar de test kan zich ook richten op enkel een nieuw systeem dat wordt ge ntroduceerd.
Voor organisaties die nog nooit of slechts sporadisch een penetratietest hebben laten uitvoeren, kan dit in de vorm van een nulmeting. Het doel hiervan is om een globaal overzicht te krijgen van de belangrijkste technische tekortkomingen in het design of de implementatie van een IT-infrastructuur.
Terugkerende penetratietesten kunnen zich richten op de volledige infrastructuur, maar ook op individuele systemen, bijvoorbeeld omdat deze nieuw worden opgeleverd. E n klant van Resillion laat al haar systemen testen voordat deze live gaat of significant wijzigt. Door commitment vanuit de raad van bestuur gaan deze systemen niet live als er ook maar n gemiddeld, hoog of kritieke bevinding uit de test komt. Resillion constateert dat deze aanpak ervoor zorgt dat veel beveiligingsrisico's al vroegtijdig worden weggenomen of gemitigeerd. In feite worden zo stapsgewijs delen van de infrastructuur vervangen door robuuste systemen.
Verbeterplan
De bevindingen uit een pentest zijn vaak niet op zichzelf staande problemen, maar veel vaker zijn zij het resultaat van meer generieke problemen: dat een groot aantal systemen niet up-to-date zijn qua security updates kan niet worden opgelost door enkel deze individuele systemen te gaan updaten, maar vereist ook dat de werking van het patch- en vulnerability managementbeleid wordt gecontroleerd.
Als dus uit een inventarisatie aan het licht komt dat niet alles in orde is, hoe zorg je er dan voor dat je beveiliging wel in orde komt en blijft? Dat is een vraag waar veel organisaties iedere dag mee bezig zijn en waarover veel raamwerken en good practices zijn gepubliceerd. Denk hierbij aan Cobit, ITIL, ISO 27001 en de NIST-standaarden. De gemeenschappelijke noemer is dat er in een organisatie processen aanwezig zijn die de techniek, organisatie en mensen verbinden en regelkringen zoals het plan-do-check-act model van Deming of het identify-protect-detect-response-recover model van NIST. Veel organisaties zijn in de nieuwe NIS2 richtlijn zelfs verplicht adequate maatregelen te nemen ten aanzien van het beheer van cyberrisico's, penetratietesten, incident response' en herstel.
Meten is weten
Vervolgens is het zaak regelmatig de effectiviteit van maatregelen te controleren. Want werken het informatiebeveiligingsbeleid en de processen ook echt? Resillion ziet vaak dat op papier alles perfect lijkt ingeregeld, maar dat dit in de praktijk toch anders is. Een aantal voorbeelden:
Organisatie X beschreef in zijn beleid precies aan welke beveiligingseisen systemen moeten voldoen. Bij een penetratietest door Resillion bleek dit ook grotendeels zo te zijn, maar bleken er ook ongedocumenteerde systemen aanwezig te zijn in het netwerk die door individuele afdelingen werden beheerd (zogenaamde shadow-IT ). Deze systemen waren zeer slecht beveiligd en binnen een paar minuten konden beheerrechten worden verkregen. De gebruikerswachtwoorden op deze systemen bleken overeen te komen met het centrale (identity & access management) Active Directory (AD) domein, en er op het interne netwerk van de organisatie werd geen gebruik gemaakt werd van Multi-Factor Authentication . Zodoende kon Resillion uiteindelijk toch toegang krijgen tot het centrale AD domein, en daarmee de file servers met allerlei bedrijfsgevoelige informatie.
De resultaten van de penetratietest werden nadien niet alleen gebruikt om de individuele bevindingen op te lossen, maar ook om in breder verband shadow-IT binnen de organisatie te gaan opsporen.
Organisatie Y had bij het afnemen van een softwarepakket de leverancier gevraagd naar het beveiligingsniveau van het product. De leverancier gaf aan jaarlijks een pentest te laten uitvoeren, en dat bij de vorige pentest was gebleken dat de software veilig was. Tij
LINK: | https://www.resillion.com/nulmeting-en-terugkerende-pentesten-cruciaal... |
See more stories from eurofins |
Most recent headlines
04/08/2024
Dalet Appoints Santiago Solanas as CEO to Lead Next Era of Growth and Innovation
Dalet, a leading technology and service provider for media-rich organizations, is excited to announce Santiago Solanas as its new Chief Executive Officer (CEO)....
03/06/2024
Dalet and Veritone Reach Agreement to Distribute, Transact and Monetize Media Archives
Dalet, a leading technology and service provider for media-rich organizations, a...
12/05/2024
Berklee Honors Ledisi, Q-Tip, and Gilberto Santa Rosa at Commencement
Berklee Honors Ledisi, Q-Tip, and Gilberto Santa Rosa at Commencement This years honorary doctorate recipients were recognized for their profound influence as...
11/05/2024
Survey: Fubo Boasts High Levels of Audience Attention
NEW YORK FuboTV has released a new study from TVision, which studies TV and CTV viewer engagement, that found ads on Fubo get higher viewer attention levels tha...
11/05/2024
The Weekly TV Tech Product News Roundup
Missed any of our product news this week? Here is our new weekly wrap-up with all the product news we published in our newsletter between May 6 and May 10. The ...
11/05/2024
Enghouse Completes Acquisition of SeaChange
MARKHAM, Ontario Enghouse Systems Limited has announced it has successfully completed its acquisition of substantially all of the assets of SeaChange Internatio...
11/05/2024
Unreal for video Rendering for After Effects
Unreal for video Rendering for After Effects Graham Quince May 10, 2024 0 Comments Welcome to my series on learning Unreal Engine for video producti...
11/05/2024
CEO David Zaslav On How Warner Bros. Discovery Is Using AI
Warner Bros. Discovery is using artificial intelligence to improve ad targeting and help viewers find content, but not to create programming, CEO David Zaslav s...
11/05/2024
Allen Media Group Reaches Expanded Carriage Deal With Hawaiian Telcom
Byron Allen's Allen Media Group said it reached an expanded carriage agreement with Hawaiian Telcom....
11/05/2024
Good Morning Football' To Air on Fox Television Stations
Good Morning Football, an NFL-focused panel talk show that has aired on NFL Network since 2016, is coming to broadcast syndication with the Fox Television Stati...
11/05/2024
Andrea Robinson Joins WCMH Columbus as Weekend Anchor
Andrea Robinson starts on the weekend newscasts at WCMH Columbus, Ohio, Saturday, May 11, anchoring alongside Matthew Herchik and meteorologist Bryan Still. NBC...
11/05/2024
Streaming? No Thanks, Says Nexstar CEO Perry Sook
Perry Sook, founder and CEO of broadcast giant Nexstar Media Group, isn't a fan of streaming....
11/05/2024
Law & Order: Organized Crime' Moves to Peacock
Law & Order: Organized Crime is moving from NBC to Peacock for season five. The Dick Wolf drama follows the detectives of the Organized Crime Control Bureau as ...
11/05/2024
Harry Pappas, Station Group Founder, Has Died
Harry Pappas, Pappas Telecasting Companies founder/president/CEO, died April 24 at age 78. He was surrounded by his family when he passed. He had battled illnes...
11/05/2024
KXAS Dallas-Fort Worth, WTVF Nashville Pick Up Peabody Awards
KXAS Dallas-Fort Worth and WTVF Nashville have won 2024 Peabody Awards. Given out by the University of Georgia's Grady College of Journalism and Mass Commun...
11/05/2024
AMC Networks Earnings Drop To $48.5 Million in Q1
AMC Networks reported that its first-quarter earnings fell by half, with advertising revenue dropping 13%....
10/05/2024
The Greatest Night in Pop Proves That We're Most Powerful as a Collective
Lionel Richie (Photo by George Pimentel/Shutterstock for Sundance)...
10/05/2024
Give Me the Backstory: Get to Know Arun Bhattarai and Dorottya Zurb, the Filmmakers Behind Agent of Happiness
By Lucy Spicer One of the most exciting things about the Sundance Film Festival...
10/05/2024
SBS announces Voyager lead singer Danny Estrin as Australia's spokesperson for the 2024 Eurovision Song Contest jury
SBS announces Voyager lead singer Danny Estrin as Australia's spokesperson f...
10/05/2024
UK Ministry of Defence Selects L3Harris T4 Robots to Assist with Explosive Ordnance Disposal Missions
The T4's best-in-class manipulator arm reach and lift strength, patented sta...
10/05/2024
A True Industry Partner for the Western Australian Police Force
L3Harris, together with partner Radlink Communications, is delivering communications terminals for the Western Australian Police Force (WA Police Force) leverag...
10/05/2024
Survey: TV Declines as Preferred Source of Local News
A major new survey and study of local news reveals a number of unsettling trends for broadcasters. Key findings from the Pew Research Center survey include a de...
10/05/2024
LOBO Launches Standalone Live-Action Division With Impressive Roster of Directors
LOBO Launches Standalone Live-Action Division With Impressive Roster of Director...
10/05/2024
Limecraft Announces New Platform Update and Preview of MI at MPTS 2024
Limecraft Announces New Platform Update and Preview of MI at MPTS 2024 Brie Clayton May 10, 2024 0 Comments Accompanying image shows the Limecraft Act...
10/05/2024
Berklee Announces 2024 Songs for Social Change Contest Winners
Berklee Announces 2024 Songs for Social Change Contest Winners Student songwriters shine in the annual contest that recognizes music with a socially conscious...
10/05/2024
Meet Graduates from Berklees Class of 2024
Meet Graduates from Berklees Class of 2024 Members of this years graduating class reflect on their proudest moments at Berklee and look ahead to whats next. ...
10/05/2024
Zille Media aims to enhance media accessibility with Audio Description Editor
The company has worked with Motion Picture Solutions (MPS) on the development of the solution, which sits in the cloud-native Zille Platform By Jenny Priestley...
10/05/2024
Meet the head of entertainment
From The Tube and Top of the Pops to head of entertainment at 1185 Films, Chris Cowey tells TVBEurope about his journey through the ranks during a time of chang...
10/05/2024
Dimension bolsters senior team with four new appointments
Dimension said its new hires signal its investment in creative new production techniques for feature films, episodic series, music videos and more By Matthew C...
10/05/2024
Allen Media Group, Hawaiian Telcom Sign Multi-Year Distribution Deal
LOS ANGELES Byron Allen's Allen Media Group (AMG) has announced a multi-year comprehensive portfolio agreement with Hawaiian Telcom for continued carriage o...
10/05/2024
LG Ad Solutions to Adopt Unified ID 2.0
MOUNTAIN VIEW, Calif. LG Ad Solutions has announced that it has started to integrate the Unified ID 2.0 solution (UID2) into its platform....
10/05/2024
CBS Sports Expands Streaming Coverage of National Women's Soccer League
CBS Sports has expanded its partnership with the National Women's Soccer League by adding multiplatform coverage of 22 additional regular season matches. Th...
10/05/2024
Sinclair Prebooks $77M in Political Ads
Sinclair's Q1 2024 financial report once again highlighted the growing importance of political advertising for broadcasters at a time when core TV advertisi...
10/05/2024
Nexstar Reports Record Q1 Revenue
IRVING, TEXAS Nexstar reported record first quarter net revenue of $1.28 billion, up 2.1%, thanks to higher distribution revenue. But advertising revenue at the...
10/05/2024
Tegna Names David Loving President & GM of KHOU and KTBU in Houston
TYSONS, Va. Tegna Inc. has named David Loving president and general manager at KHOU, the CBS affiliate, and KTBU, Tegna's stations serving Houston, Texas, e...
10/05/2024
New FILM LOOK CREATOR in DaVinci Resolve 19 will put LUT creators out of business!
New FILM LOOK CREATOR in DaVinci Resolve 19 will put LUT creators out of busines...
10/05/2024
Spotted at CBC
Capitol Broadcasting employees frequently walk past photo shoots in progress when leaving work in the evenings. The WRAL Gardens and the striking architecture o...
10/05/2024
Berklee and Audio Engineering Society to Host Symposium on AI in Music
Berklee and Audio Engineering Society to Host Symposium on AI in Music The inaugural AES International Symposium on AI and the Musician will highlight excitin...
10/05/2024
LG Ad Solutions Integrating Trade Desk's Unified ID 2.0
LG Ad Solutions, the advertising arm of smart-TV maker LG Electronics, said it has begun to integrate the Unified ID 2.0 identity system developed by The Trade ...
10/05/2024
NBC Affiliates To Get Cut-Ins During Olympic Coverage To Promote Local News
NBC and its affiliates have worked out an arrangement that will give affiliates 90-second cut-ins during daytime network coverage of the Paris Olympic games....
10/05/2024
NBC Sends Leslie Jones to Paris for Offbeat Olympics Coverage
Comedian Leslie Jones is joining NBCUniversal's Olympics coverage this summer as what NBCU calls chief super fan commentator. She had a similar role at NB...
10/05/2024
Brooke Shields Stars in Netflix Film Mother of the Bride'
Brooke Shields stars in the rom-com Mother of the Bride, which premieres on Netflix May 9. Mark Waters directs the film, about a destination wedding in Thailand...
10/05/2024
Tonight on Scandal: Dintle stumbles upon a dangerous gift
Tonight on Scandal: Dintle stumbles upon a dangerous giftDon't miss Friday, 10 May's riveting episode of South African soapie Scandal! on e.tv on DStv c...
10/05/2024
Tonight on Skeem Saam: Mr Kgomo considers rehiring a former employer despite their rocky history
Tonight on Skeem Saam: Mr. Kgomo considers rehiring a former employer despite th...
10/05/2024
Skeem Saam: Friday's episode, 10 May 2024 [video]
Skeem Saam: Friday's episode, 10 May 2024 [video]Missed an episode of Skeem Saam? No problem! Watch the latest episode of your favourite South African soapi...
10/05/2024
Thuraya network coverage restored in the Indo-China region as recovery measures underway
Abu Dhabi, 10 May 2024: Further to our previous communications about the unexpec...
10/05/2024
Thuraya network coverage restored in the Indo-China region as recovery measures underway
Abu Dhabi, 10 May, 2024 : Abu Dhabi, 10 May 2024: Further to our previous commu...
10/05/2024
Tonight on House of Zwide: Mampho is hurt after catching Ona and Soka chilling in his car together
Tonight on House of Zwide: Mampho is hurt after catching Ona and Soka chilling i...
10/05/2024
SVG Rewind: NBC Sports' Senior Producer Lindsay Schanzer, Director Kaare Numme Reflect on Historic Photo Finish at Kentucky Derby
SVG Rewind: NBC Sports' Senior Producer Lindsay Schanzer, Director Kaare Num...
10/05/2024
SVG's Sports Content Management Forum Agenda Unveiled, Register Now for July 24 Event in NYC
SVG's Sports Content Management Forum Agenda Unveiled, Register Now for July...