Waarom één pentest per jaar niet meer voldoende beschermt
Digitale dreigingen veranderen elke dag. Eén keer per jaar laten testen of je IT-omgeving veilig is, de zogenoemde“security-APK” of pentest, geeft daarmee een vals gevoel van zekerheid. Wie zijn extern bereikbare systemen écht wil beschermen, moet doorlopend zicht houden op wat er vanaf internet zichtbaar is en welke kwetsbaarheden daarin zitten.
Internet-facing systemen zijn permanent doelwit
Vrijwel elke organisatie heeft systemen die direct vanaf internet bereikbaar zijn: websites, API’s, webapplicaties, mailservers, VPN-portalen. Juist deze systemen zijn aantrekkelijk voor aanvallers. Ze zijn 24/7 te bereiken en worden geautomatiseerd op zwakke plekken gescand. Een kwetsbaarheid die maandag wordt gepubliceerd, wordt vaak dinsdag al actief misbruikt.
Een pentest is een momentopname
Een jaarlijkse pentest is en blijft waardevol: een specialist kijkt grondig en met menselijke creativiteit aar je omgeving. Maar het resultaat is per definitie een momentopname. In de elf maanden daarna komen er nieuwe kwetsbaarheden bij, worden systemen geüpdatet, plug-ins toegevoegd en configuraties gewijzigd. Het rapport van vorig jaar zegt dan weinig meer over de situatie van vandaag.
Het risicovenster verkleinen
Het verschil tussen periodiek en continu scannen zit in het risicovenster: de tijd tussen het ontstaan van een kwetsbaarheid en het moment dat jij het ziet. Een voorbeeld. Tijdens de jaarlijkse pentest wordt in de CMS-plug-in van je website geen probleem gevonden. Drie maanden later wordt er een kritieke kwetsbaarheid in diezelfde plug-in gepubliceerd. Aanvallers scannen het internet binnen uren actief op kwetsbare installaties. Test je alleen jaarlijks, dan kan dit lek nog negen maanden openstaan zonder dat iemand het merkt. Een continue vulnerability scan pikt het op bij de eerstvolgende ronde zodat je direct kunt patchen.
Pentest én continu scannen; geen óf-vraag
Net zoals een auto niet veiliger wordt door alleen één keer per jaar naar de garage te gaan, blijft ook IT-beveiliging niet op orde met één jaarlijkse controle. De pentest geeft diepgang, de continue scan geeft actualiteit. Samen maken ze van security geen jaarlijkse vinkactie, maar een doorlopend proces dat meebeweegt met de dreiging.
PDCS biedt eerst een pentest aan om een volledig beeld te hebben van de omgeving. Om vervolgens te scannen om een continu beeld te hebben van de kwetsbaarheden. Uiteraard kan ook gekozen worden voor alleen een pentest of alleen de scanning.