Gratis penetratie test van Bruce Schneier: Je bent lek
Menig expert beschouwt penetratie testen als een essentieel onderdeel van de netwerkbeveiliging, hoewel er ook beveiligers zijn die het geldverspilling vinden. "Beide opvattingen kloppen niet. De werkelijkheid van penetratie testen is veel gecompliceerder en genuanceerder," zegt Bruce Schneier. In de meeste gevallen levert een pentest een dik rapport op, en dat is volgens de beveiligingsgoeroe het werkelijke probleem.
Managers willen geen dik rapport waarin staat hoe onveilig het netwerk is. Aangezien er niet voldoende budget is om alle problemen op te lossen, blijft het rapport liggen tot uiteindelijk iemand de dupe wordt, of erger, het wordt tijdens een rechtszaak wegens een inbraak ontdekt.
De meeste tests vinden vroeger of later beveiligingsproblemen, dat is gewoon een feit. Bedrijven die toch een pentest laten uitvoeren hebben hiervoor twee redenen. Ten eerste willen ze weten of een bepaald lek aanwezig is, zodat men dit kan verhelpen. Ten tweede wil men een dik, indrukwekkend rapport om de baas bang te maken meer geld uit te geven. "Als beide niet waar zijn, dan zal ik je een hoop geld besparen door je deze gratis penetratietest te geven: Je bent lek. En ga er nu iets aan doen," aldus Schneier.
gratis penetratie test.
ik laat me toch niet in mijn sterretje nemen...
is. Het is dan aan de technici om bepalen wat de risico's zijn, hoeveel kans
daarop is, en wat het gaat kosten om te fixen, en wat het gaat kosten als
het fout gaat. En als je echt goed bezig wil zijn, een of enkele oplossingen
met kosten, risico's om het probleem te mitigeren ipv op te lossen.
Immers, als je er geen last van kan gaan krijgen, hoef je het ook niet perse
op te lossen. Veel security mensen klagen over hun manager.. Hij snapt er
niets van, hij begrijpt het niet... Misschien ligt het probleem wel dat die
manager niet technisch genoeg is maar misschien is het probleem dat
zijn medewerkers alleen maar techno-babbel kunnen doen. Tegen een
manager moet je niet vertellen dat je windows XP clients een zeroday
hebben. Die moet je vertellen "er zit een bug in, en fixen van dat bugje kost
10 miljoen, over 2 maanden komt Microsoft pas met een patch uit, en het
risico dat we er mee te maken krijgen is 85%, de kosten daaruit zijn 30
miljoen. We kunnen tijdelijk een oplossing bieden die 200.000 kost... Dat
er een bufferoverflow in register blaat zit welke met string
219387434euywe93 getriggerd kan worden door een selfpropagating
worm virusdingusje.. dat zal die man een rotzorg wezen.
je bent. Het is bedoeld om te testen hoe effectief de
maatregelen zijn die je genomen hebt nadat je de beveiliging
op orde hebt gebracht. Er zijn inderdaad veel mensen die het
gebruiken als politiek instrument maar daar is het eigenlijk
niet voor bedoeld.
Indien je toch een probleem duidelijk wilt maken pas dan
enorm op wie je in huis haalt om de pen test uit te voeren.
Veelal zijn de rapporten niet veel meer dan een lijst met
halfbakken waarheden die ongecontroleerd en soms zelfs
ongenuanceerd de organisatie in worden geschoten met alle
gevolgen van dien. Een veel gemaakte fout is hierbij is dat
infosecbedrijven amper de tijd krijgen om een behoorlijk
onderzoek met bijbehorende rapportage uit te voeren.
Waardoor de output vaak van zeer bedenkelijke kwaliteit is.
Ik ben al vaker geconfronteerd met rapporten van zelfs grote
namen waar de tijdsdruk stomweg enige kwaliteit in de weg
stond...
My two cents,
Carlo Seddaiu
Pragmasec BV
Menig CEO begrijpt niets van Security en ziet de noodzaak er
ook niet van
in. Je betaalt voor iets dat misschien wel nooit nodig is (
een verzekering)
en dat doen mensen nou eenmaal niet zo graag.
Met uitzondering van hun beveiligde BMW, Porsche of
Mercedes.... ;-)
brrr.
gratis penetratie test.
ik laat me toch niet in mijn sterretje nemen...
...lees het nog eens, zuinige Hollander. Het is gratis!
Menig CEO begrijpt niets van Security en ziet de noodzaak er
ook niet van
in. Je betaalt voor iets dat misschien wel nooit nodig is (
een verzekering)
en dat doen mensen nou eenmaal niet zo graag.
Een goede risico analyse en een berkening hoeveel tijd
(geld) het gaat
kosten om bepaalde schade te herstellen werkt mijnsinziens
beter.
Daarnaast heb je dan ook nog immateriele schade (het is niet
leuk als er
in de media vermeldt wordt dat bedrijf X succesvol gehackt is.)
Een goede security officer moet dit concept in
"groentenmannen taal"
kunnen uitleggen aan zijn CEO.
Lol ach ik werk bij een verzekeringskantoor en zelfs die
zien soms de noodzaak niet altijd :P. Het komt juist omdat
het net als verzekeren is!
Want hoe groot is de kans dat het fout gaat? En hoeveel gaat
het dan kosten waarschijnlijk? Dan heb je een leuk geschat
bedrag te pakken en dat zet je af tegen de kosten van de
oplossing.
Het enige dat je dan moet kunnen kwantificeren is de waarde
van gezichtsverlies. En hoe vaak zie jij op het 6 uur nieuws
dat een bedrijf gehacked is?? Nouja het enige dat mij opvalt
is de hoeveelheid tapes de bedrijven in USA de laatste tijd
verliezen maar, dat lezen alleen security geinteresseerden
en niet die manager.
Verder ben ik het heel erg met mijn chef eens. Voor het
management moet het gewoon simpel op 1 of 2 a4tjes staan.
Gewoon heel simpel en basaal wat er aangeschaft moet worden
en waarom.
En als de korte versie van het waarom niet genoeg is zal die
mondeling toegelicht moeten worden. En als dat dan niet
voldoende is dan kun je uiteindelijk teruggrijpen naar dat
risicoanalyse verhaal.
Maar ik zie een risicoanalyse alleen als een hulpmiddel.
Een hulpmiddel om te bepalen welke security- en systeemeisen
er moeten komen/zijn.
Een hulpmiddel om te communiceren naar andere techneuten.
Een hulpmiddel om de inrichting van een SLA te bepalen.
Een hulpmiddel om een certificaatdienst te sturen als je een
bepaald certificaat nodig bent om je werkzaamheden te mogen
doen.
Een manager wil gewoon zien dat het systeem een
beschikbaarheid heeft van 96% dat hij daar dan een x bedrag
voor moet neer tikken. Verder wil hij dan nog even zien wat
hij precies voor dat x bedrag krijgt. Maar dat is niets meer
dan het apparaat + z'n functie. Bijvoorbeeld:
- dat alle servers dubbel uitgevoerd worden ivm de uitwijk,
- dat er een noodstroom wordt geregeld voor het gehele pand
zodat alle medewerkers kunnen doorwerken bij een stroomstoring
Als een manager meer informatie wil mag hij eens naar het
rapport kijken ;-).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
