SCAN UW NETWERK SECURITY. Krijg een helder beeld van de kwetsbaarheden en voorkom schade

Transcriptie

1 SCAN UW NETWERK SECURITY Krijg een helder beeld van de kwetsbaarheden en voorkom schade Vandaag de dag hebben organisaties een zorgplicht om de digitale veiligheid op orde te hebben. De wetgeving, zoals de privacywetgeving, eist dat organisaties zorgvuldig handelen als het gaat om persoonsgegevens. Vanuit het oogpunt van continuïteit is het beschikbaar zijn van uw informatie en dus de IT omgeving essentieel. Wie kan er nog een halve dag zonder? Bedreigingen die de continuïteit en digitale veiligheid in gevaar brengen zijn er te over: Weet u zeker dat u beveiligd bent tegen aanvallen van buitenaf, zoals ransomware? Zijn medewerkers bewust van de gevaren die digitaal uw organisatie kunnen binnenkomen? Hoe ver kan een kwaadwillend persoon komen wanneer deze in het bezit is van een gestolen laptop of na het inprikken op een LAN kabel? Weet u zeker dat u de techniek zo heeft ingericht dat datadiefstal voorkomen kan worden? Is uw website goed beveiligd? Hoe is het gesteld met de veiligheid van de cloudleverancier? Innervate heeft een Security Scan ontwikkeld waarmee u inzicht krijgt in de kwetsbaarheden van uw IT omgeving. De Innervate Security Scan wordt uitgevoerd door gecertificeerde consultants. De scan wordt uitgevoerd op uw web en mobiele applicaties en op de in- en externe netwerken. Het resultaat is een rapportage met gevonden kwetsbaarheden. Deze laatste krijgen een prioritering: kritiek (direct actie vereist), hoog (snel actie vereist), gemiddeld (op korte termijn actie vereist) of laag (actie vereist maar niet direct). Ideaal om direct aan de slag te gaan en uw veiligheid en continuïteit te vergroten.

2 UW IT VEILIGHEID OP ORDE

3 Met de Innervate Security Scan helpen we organisaties te kijken in hoeverre ze maatregelen hebben genomen om oneigenlijke toegang tot data te voorkomen. De scan geeft een beeld welke IT componenten voldoende beveiligd zijn en welke elementen nog kwetsbaar zijn. Vervolgens zal blijken welke maatregelen genomen moeten worden om de risico s te beperken of wellicht tot nul te reduceren. De Innervate Security Scan is een kwetsbaarheden- en penetratietest die we uitvoeren volgens een beproefd stappenplan, gebruikmakend van professionele tools. Stappenplan 1. INTAKE Afstemoverleg met de opdrachtgever en formalisering van de intake documenten (plan van aanpak, vrijwaringsverklaringen, tijdstip afspreken etc.) 2. INFORMATION GATHERING Waarbij wordt bekeken welke informatie beschikbaar is op het netwerk. 3. VULNERABILITY SCANNING Waarbij het netwerk wordt gecontroleerd op kwetsbaarheden. 4. PENETRATION TESTING Waarbij gecontroleerd wordt geprobeerd om misbruik te maken van de aangetroffen kwetsbaarheden. Een penetration test, afgekort ook wel pentest genoemd, is een geautoriseerde aanval op een systeem waarbij misbruik gemaakt wordt van kwetsbaarheden. Het doel hiervan is om een overzicht van kwetsbaarheden te krijgen waardoor het systeem beter beveiligd kan worden. Naast de technische testen voeren we indien gewenst social engineering uit.

4 BRUTE-FORCE AANVAL Kwaadwillende personen (bijv. ontevreden medewerker of onbekenden) kunnen doormiddel van een zogenoemde Brute-Force aanval toegang krijgen tot het systeem. Een Brute- Force aanval houdt in dat een aanvaller elke mogelijke letter en cijfer combinatie probeert om zo toegang tot het systeem te krijgen en op deze manier data probeert te vergaren. Deze kwetsbaarheden dienen zo snel mogelijk te worden opgelost om zo financiële dan wel imagoschade te voorkomen mocht daar misbruik of gebruik van worden gemaakt, zonder dat daarvoor toestemming of reden toe is. Een voorbeeld hiervan zijn gegevens op de servers die verwijderd of versleuteld (ransomware ) worden door een kwaadwillende en deze kunnen alleen tegen betaling terug gekregen worden. Een ander voorbeeld is het in de publiciteit komen wegens een groot datalek van persoonsgegevens.

5 Rapportages om mee aan de slag te gaan Resultaat van de Innervate Security Scan is een rapportage waarin alle kwetsbaarheden staan opgenomen. Deze zijn tevens voorzien van maatregelen om risico s te beperken, inclusief een kostenraming. De rapportage beschrijft onder andere de gebruikte applicaties, de parameters die zijn gebruikt bij de tests, het tijdstip waarop de test is uitgevoerd, het IP-adres waarvandaan de test is uitgevoerd, een toelichting per gevonden verbeterpunt en een inschatting van de prioriteit per verbeterpunt. Onderstaande tabel is onderdeel uit de rapportage en laat één van de mogelijke kwetsbaarheden zien: Kwetsbaarheid IP-adres Toelichting Score Impactanalyse Aanbeveling N ,56,789 Poort: 21 Service: FTP 3 Deze poort wordt gebruikt voor FTP. Echter, het is mogelijk om zonder inloggegevens verbinding te maken met de FTP service en er is geen hold-off timer geconfigureerd op de FTP service. Hiermee is het systeem gevoelig voor een Brute-Force aanval. Hiermee is het mogelijk om onbeperkt inlogpogingen uit te voeren op deze service, waarmee het risico gelopen wordt dat ongewenste personen toegang krijgen tot de FTP service en daarmee toegang krijgen tot data welke zich op deze FTP server bevindt. Configureer een holdoff timer op deze FTP service, waardoor er maar beperkte inlogpogingen gedaan kunnen worden. N staat in casu voor Netwerk. Hier kunnen ook andere codes staan zoals WA (webapplicatie) Prioritering Score Oplossingsterrmijn Kritiek 5 direct Hoog 4 zo snel mogelijk Gemiddeld 3 op korte termijn Laag 2 op lange termijn informatief 1

6 Met de rapportages kunt u snel zien met welke maatregelen al grote stappen gemaakt kunnen worden. U krijgt een document in handen dat door onze professional persoonlijk wordt toegelicht zodat u succesvol aan de slag kunt gaan. De Innervate Security Scan levert u in een kort tijdsbestek en tegen lage kosten inzicht in uw digitale risico s. Neem gerust contact met ons op via of telefonisch voor een vrijblijvend gesprek: T E of info@innervate.nl Informatiebeveiliging & Privacybescherming Binnen Innervate is Informatiebeveiliging & privacybescherming gedefinieerd als een van de speerpunten. Daarbij wordt de Code voor Informatiebeveiliging, geformaliseerd in de ISO-27001/2 standaard en de vigerende privacywetgeving gehanteerd als algemene leidraad. Al vele jaren bieden wij ondersteuning voor alle fasen van deze cyclus door de brede achterban aan expertises, zowel op IT-vlak als op het vlak van management en organisatie.