Administratie en privacy gevoelige gegevens gaan hand in hand. Voor ons is het daarom enorm belangrijk om onze software zo veilig mogelijk te maken. We doen dit door te voldoen aan de gestelde normen van ISO 27001, ISO 9001, NEN 7510 en natuurlijk die van onszelf. Een terugkerende toets om de veiligheid van onze data te blijven verbeteren is de penetratietest. Door deze test kunnen we kwetsbaarheden identificeren en vervolgens verhelpen in onze cursistenadministratie software.

Wat is een pentest?

Met een pentest, kort voor penetratietest, proberen security testers als hackers te werk te gaan om een systeem op allerlei manieren binnen te dringen. Op deze manier krijgt een organisatie inzicht in mogelijke zwakheden van een netwerk, applicatie of website. Na afloop delen de testers hun bevindingen met de organisatie, waardoor deze alle risico’s uit de getoetste software kan oplossen.

Niet alle risico’s zijn natuurlijk even groot. Bij een penetratietest wordt er onderscheid gemaakt tussen kritische, hoge, gemiddelde en lage risico’s.

1. Kritische risico’s zijn kwetsbaarheden die acuut opgelost moeten worden en een directe bedreiging vormen voor het systeem.
2. Hoge risico’s zijn problemen die op termijn waarschijnlijk een bedreiging vormen en dus relatief snel opgepakt moeten worden.
3. Gemiddelde risico’s vormen niet direct een probleem, maar kunnen op lange termijn wel een bedreiging kunnen vormen.
4. Lage risico’s zijn kwetsbaarheden met minimale impact, maar die voor de hygiëne van het systeem wel opgelost moeten worden.

Welke testmethoden zijn er?

Binnen penetratietesten zijn er drie methodes te onderscheiden. Ieder met specifieke voor- en nadelen.

1. Black box – Bij deze methode krijgt de tester vooraf geen informatie over de IT-situatie van een organisatie. Hierdoor probeert de tester relatief onvoorbereid een systeem binnen te dringen. Vaak blijven de resultaten van deze methode ook erg oppervlakkig.
2. Grey box –  Geef je de tester al wat meer achtergrond informatie over je IT-landschap? Dan spreken we over een Grey Box penetratie test. Bij deze test ligt de focus op het zo realistisch nabootsen van een echte hack. Hackers gaan namelijk over het algemeen niet snel zonder achtergrond informatie te werk. Vaak wordt deze informatie verkregen door klanten of medewerkers van een bedrijf. Informatie komt vaak in de vorm van een geauthentiseerd gebruikersaccount, waardoor de hacker toegang krijgt tot de IT-omgeving.
3. White box – Bij deze methode krijgt de tester vooraf volledige openheid in een systeem. Hierdoor kan de penetratietest erg grondig worden uitgevoerd. Deze methode duurt dan ook vaak het langst. De kanttekening van deze grondige methode is dat de test vaak niet meer realistisch is, aangezien echte hackers, over het algemeen, vooraf geen volledige openheid krijgen in een systeem.

Wanneer is een pentest nuttig?

Hackers staan nooit stil en blijven zich continu ontwikkelen. Het is dus belangrijk voor organisaties om deze hackers voor te blijven. Een pentest helpt organisaties hun IT-beveiliging te versterken en voor te bereiden op de toekomst. Toch ben je als organisatie na één test niet veilig. In een ideale situatie voer je ieder jaar een nieuwe test uit, om up-to-date te blijven.

Wat betekent de penetratietest voor Coachview?

Bij Coachview is er recent een Grey box test uitgevoerd, waarbij zowel de IT-infrastructuur als de netwerk services en applicatie zijn getest. De security tester kreeg toegang tot onze omgeving door middel van een gebruikersaccount. Hierdoor kon hij dieper in onze systemen duiken en deze op kwetsbaarheden analyseren. De test is uitgevoerd volgens OWASP ASVS niveau 2 en OWASP top 10 standaarden. Dit zijn beide erkende technieken om kwetsbaarheden in IT op te sporen.

Tijdens de penetratietest, die voor ons is uitgevoerd, zijn geen kritische risico’s gevonden. Wel zijn er enkele hoge en gemiddelde kwetsbaarheden gevonden. Deze zijn geanalyseerd en direct verholpen. Dit helpt ons weer Coachview een stuk veiliger te maken! De lage kwetsbaarheden worden geïnventariseerd en op een later tijdstip opgepakt. We mogen wel stellen dat de test is geslaagd!