De online aanwezigheid is voor veel bedrijven van groot belang. Soms zelfs van levensbelang. Ze ontlenen hun bestaansrecht aan hun website, webshop of applicatie. Dit geldt zeker voor webagencies. De beschikbaarheid én de security van de websites en applicaties van hun klanten zouden dan ook de hoogste prioriteit moeten hebben…
De praktijk is anders: Hoewel structureel pentesten helpt bij het tijdig opsporen van potentiële kwetsbaarheden, lopen veel bedrijven risico’s. In deze blog vertellen we je over de impact van gebrekkig pentesten, de belangrijkste uitdagingen en natuurlijk hoe je ervoor zorgt dat je die de baas wordt.
Een pentest, ook wel bekend als een penetratietest, is een manier om kwetsbaarheden in de beveiliging van een online omgeving op te sporen. Tijdens een geplande pentest doet een ethische hacker zich voor als een cybercrimineel. Er worden verschillende pogingen gedaan om een website of applicatie binnen te dringen. Na afronding van de test ontvang je een rapport met hierin alle bevindingen rondom de beveiliging.
Door op deze manier ‘gecontroleerd te hacken’ kom je er als eigenaar veilig achter waar jouw beveiliging aandacht vraagt. Op basis hiervan kan jij vervolgens hele gerichte verbeteringen doorvoeren.
Pentesten is niet alleen iets voor grote bedrijven. Ook kleinere bedrijven die gegevens verwerken via een website, kunnen grote risico’s lopen als kwetsbaarheden niet goed worden gemonitord.
Kevin Bentlage
CTO bij Cobytes
De beveiliging van websites en applicaties, ook wel cybersecurity genoemd, wordt steeds belangrijker. Dat komt onder andere doordat we steeds afhankelijker worden van alle digitale oplossingen die beschikbaar zijn. Een aanval of lek heeft dus grote gevolgen. Tegelijkertijd betekent dit ook dat er veel meer ‘valt te halen’ voor cybercriminelen. Voor iemand met kwade bedoelingen wordt het aantrekkelijker om een poging te wagen.
Met pentesten spoor je zelf eventuele kwetsbaarheden op, voordat een ander het doet. Hiermee voorkom je dat risico’s niet of te laat gesignaleerd worden, wat kan zorgen voor een datalek en een ongewenste open deur voor cybercriminelen.
De gevolgen van gebrekkig pentesten kunnen flinke impact hebben op organisaties:
Financiële schade door gebrekkig pentesten
Uit onderzoek blijkt dat een incident zoals een datalek of een hack een mkb-bedrijf in Nederland gemiddeld zo’n 270.000 euro kost (bron: bnr.nl). De kosten komen voort uit alles wat er voor nodig is om het incident op te lossen en eventuele boetes die betaald moeten worden. Voor kleinere bedrijven kan dit een flinke impact hebben op de financiële gezondheid en in sommige gevallen zelfs het voortbestaan in gevaar brengen.
Reputatieschade door gebrekkig pentesten
Ook op de langere termijn kan een securityincident vervelende gevolgen hebben. Wanneer dit bij het grote publiek bekend wordt kan het namelijk de reputatie schaden. Klanten kunnen hierdoor het vertrouwen verliezen in de online veiligheid die jij kan bieden. Dit kan er vervolgens weer voor zorgen dat bestaande klanten afscheid nemen en potentiële klanten kiezen voor een andere leverancier. Ook deze vorm van schade zou op de langere termijn zelfs nog het voortbestaan van een bedrijf in gevaar kunnen brengen.
Operationele verstoringen door gebrekkig pentesten
De dagelijkse gang van zaken op de werkvloer kan ook flink verstoord worden door de gevolgen van gebrekkig pentesten. Want de gevolgen van reputatieschade en financiële schade hebben uiteraard ook invloed op de dagelijkse werkzaamheden en de onderlinge sfeer. En ook wanneer dit nog niet het geval is, kunnen onopgeloste kwetsbaarheden invloed hebben op de bestaande processen en de kwaliteit die geleverd wordt.
Pentesten wordt door lang niet alle bedrijven ingezet. Dit heeft te maken met verschillende uitdagingen:
Bang voor de gevolgen
Voor sommige bedrijven zijn de onbekende gevolgen van een pentest een reden om het niet te doen of uit te stellen.
Wanneer een bedrijf geen tot weinig ervaring heeft met pentesten, zien we vaker dat het testen wordt uitgesteld. Bedrijven zijn dan bijvoorbeeld bang dat er tijdens het testen iets wordt stukgemaakt of dat de website helemaal offline gaat.
Kevin Bentlage
CTO bij Cobytes
Buiten de gevolgen van het testen zelf, zijn bedrijven soms ook huiverig voor de resultaten. Eigenlijk weten zij vooraf al dat er iets niet goed is. En omdat ze de middelen en de mensen niet hebben om de problemen op te lossen, schuiven ze het testen voor zich uit.
Onduidelijke scope
Een goede voorbereiding is het halve werk. Dit geldt ook voor een pentest. Het is van groot belang dat je vooraf goed in kaart brengt wat er precies getest moet worden. Want wanneer de scope van de test onduidelijk is zal de uitkomst in de meeste gevallen niet volledig zijn of is het onduidelijk wat er mee moet gebeuren. En dat is zonde van het budget en alle tijd en moeite die eraan besteed is. Toch is dit binnen veel teams één van grootste uitdagingen. Want ook het realiseren van een glasheldere scope, vraagt om tijd en aandacht die er vaak simpelweg niet is.
De kosten
Een van de veelgenoemde redenen waarom pentesten te weinig gebeurt zijn de kosten. Het inplannen en uitvoeren van een pentest kost tijd en geld. En dan hebben we het nog niet eens over de risico’s die uit de test komen. Want ook het aanpakken van de risico’s kost tijd en geld. Uit onderzoek van Cobalt blijkt dat slechts 39% van de kritische kwetsbaarheden die zijn vastgesteld tijdens een pentest daarna zijn bevestigd als opgelost. Dit betekent dus dat in maar liefst 61% van de gevallen er bewust voor wordt gekozen de kwetsbaarheden niet aan te pakken. Je begrijpt dat dit zorgt voor grote risico’s…
Pentesten is belangrijk. Belangrijker dan vaak wordt gedacht. Maar denk ook zeker na over het oplossen van de uitkomsten en het na-testen om te controleren of iets écht is opgelost.
Kevin Bentlage
CTO bij Cobytes
Beperkte resources
Uit hetzelfde onderzoek van Cobalt komt naar voren dat veel security teams last hebben van budgetbeperkingen en onderbezetting in het team. Zowel in Europa als in Amerika geeft 61% van de respondenten aan dat zij hierdoor moeite hebben het security level op het gewenste niveau te houden.
Naast onderbezetting speelt ook het vinden van de juiste kennis en expertise een rol. Om alle gewenste onderdelen mee te kunnen nemen in een pentest is vaak specialistische kennis nodig. In veel gevallen lukt het bedrijven niet deze te vinden. Met een gebrekkige pentest als gevolg.
Zorg voor een duidelijke scope
Zoals al eerder benoemd, een goede voorbereiding is het halve werk. Zorg dat je vooraf een duidelijk beeld hebt van wat er concreet getest moet worden. Zorg ook voor een duidelijke beschrijving hiervan richting degene die moet gaan testen. Zo staan in ieder geval alle neuzen dezelfde kant op.
Continuous pentesting
Een traditionele pentest vindt periodiek plaats. Dit kan bijvoorbeeld een keer per kwartaal of per halfjaar zijn. In dit geval moet de test goed gepland worden. Er moeten resources vrijgemaakt worden om in te zetten voor de pentest. Dit heeft dus periodiek ook de nodige impact op de dagelijkse werkzaamheden.
Continuous pentesting kan hierin de oplossing bieden. Want zoals de naam al doet vermoeden, is dit een proces wat continu doorloopt. Pentesten wordt hierdoor een vast onderdeel van het werkproces. En dit brengt nogal wat voordelen met zich mee:
Proactief de beveiliging van jouw websites en applicaties testen is van groot belang. Zeker wanneer je meerdere websites beheert voor jouw klanten, is het een essentieel onderdeel van het gehele proces.
Continuous pentesting kent vele voordelen. Het maakt het makkelijker om actief aan de slag te gaan en vooral ook actief te blijven met het opsporen van eventuele kwetsbaarheden. Maak je gebruik van een CI/CD pipeline? Dan is continuous pentesting eigenlijk echt onmisbaar om alle geautomatiseerde deployments te controleren.
Bij Cobytes adviseren en begeleiden wij onze klanten bij pentesten. We kunnen zowel periodiek pentesten als een continuous pentesting proces opzetten. Hierin kijken we uiteraard naar de business en de behoefte van de klant. Wanneer we onze klanten ondersteunen met continuous pentesting, monitoren wij ook alle resultaten die hieruit voortkomen. Zo weet de klant zeker dat de kwaliteit van de beveiliging goed wordt onderhouden.
Wil jij ook aan de slag met (continuous) pentesting of heb je misschien nog vragen? Neem dan contact met ons op, we denken graag met je mee!
Dit artikel is gescreven door
Kevin
Met ruim 15 jaar ervaring in de IT is Kevin een ware tech-wizard. Hij heeft altijd een technische oplossing paraat en navigeert moeiteloos door de Linux CLI.
Bekijk deze relevante artikelen
24 mei 2023
24 mei 2023
keuzehulp
Beantwoord in 1 minuut een aantal vragen en kom erachter!
Start de keuzehulp
Gebruik je jouw hosting hobbymatig, of is het van cruciaal belang voor jouw bedrijf?
Wil je een website, webshop of (maatwerk) applicatie hosten?
Heb je veel te maken met pieken en dalen? bijvoorbeeld tijdens vakantie periode's, black friday, mailings, kerst etc?
Dit is erg bepalend voor het type hosting.
Wij kunnen vrijwel altijd een passende oplossing bieden voor ieder budget.
Heb je zelf veel technische kennis? Of wil je graag complete onzorging?
Kom je zelf in actie bij calamiteiten? Of laat je dit aan ons over?
Er is iets mis, we kunnen op basis van jouw keuzes geen advies geven.
Neem even telefonisch contact met ons op: 088-8788900 of stuur een e-mail naar sales@cobytes.com.
Het lijkt erop dat je een managed VPS nodig hebt.
Jouw eisen aan hosting zijn hoog, dit vereist een maatwerk oplossing, bijvoorbeeld een High-Available cluster.
Vul onderstaand formulier in om jouw persoonlijke advies te ontvangen. Geen zorgen, je zit nergens aan vast. Ons advies is geheel vrijblijvend!