De toegevoegde waarde van penetratietesten voor een IT-auditor

Transcriptie

1 De toegevoegde waarde van penetratietesten voor een IT-auditor Referaat opleiding EMITA Erasmus School of Accounting & Assurance (ESAA), Erasmus Universiteit Rotterdam Auteur: Marc Ouwerkerk (326216) Plaats: Rotterdam Datum: 9 mei 2013 Begeleider Floris van den Dool Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 1

2 Samenvatting IT-auditors gebruiken normenkaders die penetratietesten voorschrijven. Uit deze normenkaders blijkt echter niet wat de toegevoegde waarde is van deze penetratietesten. Door de verschillen tussen een penetratietest en een IT-audit duidelijk te maken, geeft dit onderzoek antwoord op de vraag: Welke toegevoegde waarde heeft een penetratietest voor een IT-auditor? Om de bovenstaande vraag te beantwoorden, is een literatuurstudie uitgevoerd en een enquête gehouden. De enquête is gebruikt om te bepalen welke definities het beste overeenkomen met de perceptie van de geënquêteerden, welke methoden het meest worden gebruikt bij een penetratietest en welke onderdelen in een penetratietestrapport zitten. Het uitgevoerde onderzoek bestaat uit een vergelijking van definities, methoden en rapportages. Er zijn belangrijke verschillen tussen een IT-audit en een penetratietest. Aanvullende afspraken tussen de opdrachtgever en de tester moeten deze verschillen verminderen. De aanvullende afspraken bestaan uit: - De penetratietest moet uitgevoerd worden volgens een standaardmethode. De methode die het best aansluit bij de eisen van de IT-auditor is de OSSTMM. - De penetratietest geeft alleen over de opzet en het bestaan van maatregelen een beperkte mate van zekerheid. - Vooraf moeten de opdrachtgever en de penetratietester afspraken maken over de gehanteerde norm en de inhoud van de rapportage. De rapportage dient te voldoen aan de voorschriften van NOREA. Met de aanvullende afspraken kan de IT-auditor steunen op een uitgevoerde penetratietest. Aan de hand van de rapportage kan de IT-auditor de conclusie van het rapport gebruiken om in beperkte mate aan te tonen of de maatregelen effectief zijn. Nadeel bij het gebruik van een penetratietest is dat de test nooit volledig kan zijn. De test is niet volledig vanwege: - De beperkte tijd voor het uitvoeren van een test. - De wijziging van de toestand van het systeem in de tijd. - De beschikbaarheid van kwetsbaarheden in de toekomst. Een penetratietest kan wel aantonen dat bepaalde maatregelen niet werken. De penetratietest heeft als doel om aan te tonen of de informatie doeltreffend beveiligd is. Een IT-auditor kan de resultaten gebruiken om te kijken welke maatregelen niet effectief zijn. Hierbij richt de IT-auditor zich op de middelen (maatregelen) om de informatie te beschermen. Door de resultaten van een penetratietest te gebruiken, kan de IT-auditor efficiënter te werk gaan. Bij de maatregelen en processen die geleidt hebben tot de door de penetratietest aangetoonde fouten kan hij volstaan met een link tussen de kwetsbaarheid en de maatregel en/of processen. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 2

3 Inhoudsopgave 1 Inleiding Probleemstelling Doel Onderzoeksvragen Onderzoeksmodel Verantwoording enquête Definities van penetratietest en IT-audit Inleiding Definitie van een kwetsbaarhedenscan Definitie van penetratietesten Vergelijking penetratietest met kwetsbaarhedenscan Definitie van een (IT-)audit Het verschil tussen een penetratietest en een IT-audit Auditmethoden Inleiding Auditmethodologie Ballenschema NOREA richtlijn voor assurance-opdrachten door IT-auditors Vergelijking methoden voor een audit Auditmethodologie conceptueel model (aanpak) Ballenschema Methoden penetratietesten Inleiding OSSTMM Information Assurance Doelen Operationele Controles NIST SP ISSAF Vergelijking methoden Aanpak penetratietest Inleiding Aanpak penetratietest Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 3

4 12 Vergelijking tussen een IT-audit en een penetratietest Inleiding Vergelijking penetratietest en IT-audit Conclusie Vergelijking rapportages Inleiding Rapportage volgens NOREA Rapportage van een penetratietest Vergelijking tussen een penetratietestrapport en een rapport volgens NOREA Oordeel over een uitgevoerde penetratietest Bibliografie Bijlage 1: Enquêtevragen Bijlage 2: Resultaten Enquête Bijlage 3: Security rapportage Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 4

5 1 Inleiding Vanuit mijn achtergrond als beheerder en programmeur ben ik 10 jaar geleden penetratietesten gaan uitvoeren. Tijdens mijn werkzaamheden ben ik ook in contact gekomen met andere penetratietesters, waaronder penetratietesters van de big four accountantskantoren en gespecialiseerde IT beveiligingsbedrijven. Daarbij is het mij opgevallen dat de werkwijze over het algemeen bestaat uit: - Samen met de opdrachtgever de scope bepalen, waaronder wat wel en niet getest wordt en de invalshoek (met of zonder voorkennis). - Uitvoeren van een scan op het netwerk en de aangeboden services. - Aan de hand van de resultaten wordt er bij de gevonden machines en services geprobeerd om een zo groot mogelijke toegang te verkrijgen op de systemen. De toegepaste methode is, bij de penetratietesten waarbij ik betrokken was, niet vastgelegd in een normenkader. Er zijn wel methoden voor het testen opgesteld (zoals de Information Systems Security Assessment Framework (ISSAF) door de Open Information Systems Security Group (OISSG, 2006) en de NIST SP (Scarfone et al, 2008)) maar die werden niet door mij en mijn collega s gebruikt. Ik ben 3 jaar als IT-auditor werkzaam geweest bij de Gemeente Den Haag en voerde daar nog af en toe penetratietesten uit op interne systemen. Voor de penetratietesten van de externe systemen werden externe partijen ingehuurd. Sinds 2011 ben ik als IT-auditor werkzaam bij KPN, waar ik een project leidde dat penetratietesten uitvoerde voor alle high risk websites van KPN. Door de verschillende werkwijzen van de bedrijven die penetratietesten uitvoeren is het moeilijk om de verschillende rapportages te vergelijken. Als IT-auditor voer ik controles uit op de uitgevoerde werkzaamheden met betrekking tot het object van onderzoek aan de hand van een vooropgesteld normenkader. Één van de onderdelen in de normenkaders die wij hanteren (de Standard for Good Practice for Information Security van het ISF (Mark & Jason, 2011)) is het uitvoeren van penetratietesten op belangrijke systemen. Ook andere normenkaders (zoals NIST door Joint task force transformation initiative (Locke & Gallagher, 2009), CobiT 4.1 (IT Governance Institute, 2007) en de Federal Information Security Act (FISMA) (US federal government, 2002)) schrijven een penetratietest voor. Voor bedrijven die credit card gegevens verwerken is het zelfs verplicht gesteld in de richtlijn Payment Card Industry (PCI) Data Security Standard (DSS) Requirements and Security Assessment Procedures door PCI Security Standards Council (PCI Security Standards Council, 2010). De normenkaders geven niet aan wat de toegevoegde waarde kan zijn van een penetratietest. Wanneer een penetratietest wordt uitgevoerd, kan deze betrokken worden in het oordeel van de ITauditor. Welke waarde de IT-auditor aan deze penetratietest kan ontlenen en aan welke randvoorwaarden deze penetratietest moet voldoen, wordt onderzocht in deze scriptie. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 5

6 2 Probleemstelling 2.1 Doel Penetratietesters kunnen zwakheden in systemen aan tonen. Bij sommige normenkaders is een penetratietest onderdeel van de norm. De IT-auditor moet bepalen welke toegevoegde waarde de resultaten van een penetratietest hebben. De informatie die een IT-auditor gebruikt moet aan bepaalde voorwaarden voldoen. Dit onderzoek geeft antwoord op de vraag of een penetratietest toegevoegde waarde heeft voor een IT-auditor. 2.2 Onderzoeksvragen De onderstaande centrale vraag vat het hiervoor geformuleerde doel samen: Welke toegevoegde waarde heeft een penetratietest voor een IT-auditor? Om de centrale vraag te beantwoorden, is deze onderverdeeld in een aantal deelvragen: 1. Wat is het verschil tussen een penetratietest en een (IT-)audit? 2. Welke penetratietestmethoden kan een opdrachtgever voorschrijven aan de partij die de penetratietest uitvoert? 3. Voldoet de bij de penetratietest voorgeschreven methode aan de normen die de beroepsgroep aan een IT-auditor stelt? 4. Welke informatie moet minimaal in een rapport zitten voor de beoordeling van een penetratietest? 2.3 Onderzoeksmodel Het uitgevoerde onderzoek is in overeenstemming met het volgende conceptuele model volgens de auditmethodologie (Babeliowsky, Hartog, & Otten, 2002): Literatuuronderzoek Enquêtes Normenkaders 1. Penetratietesten vs auditing 2. Methoden penetratietesten 3. Benodigdheden audit normen Toegevoegde waarde penetratietest Rapportages penetratietesten 4. Beoordeling rapportages Figuur 1: conceptueel model De aanpak van het onderzoek richt zich volgens bovenstaand model in eerste instantie op literatuuronderzoek, vervolgens volgen de resultaten van de enquête, waarna confrontatie tussen beide plaatsvindt. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 6

7 2.3.1 Overeenkomsten en tegenstellingen tussen penetratietesten en auditing Hoofdstuk 3 maakt een vergelijking tussen de definities van penetratietesten en auditing. Dit gebeurt door middel van literatuuronderzoek naar de verschillen in definities van een penetratietest en een audit. Bij deze vergelijking wordt ook de resultaten van de uitgevoerde enquête betrokken. Het resultaat beantwoordt deelvraag 1 en beschrijft de overeenkomsten en verschillen tussen penetratietest en een audit. Tevens helpt het resultaat bij de volgende onderzoeksvraag Methoden penetratietesten Naast de definities in hoofdstuk 3, wordt ook de praktijk tussen een IT-audit en een penetratietest met elkaar vergeleken. In hoofdstuk 4 staat een beschrijving van de verschillende methoden en normen die voor een IT-audit wordt gebruikt. Hoofdstuk 8 beschrijft verschillende methoden die bij een penetratietest worden gebruikt. De bij een penetratietest gehanteerde methodes zijn vergeleken met de eisen die aan normenkaders bij een IT-audit worden gesteld. Deze vergelijking geeft antwoord op de 2 de deelvraag Benodigdheden oordeelsvorming Hoofdstuk 11 geeft een uitgebreidere beschrijving van de penetratietestmethode die in hoofdstuk 8 is gekozen. Deze uitgebreide beschrijving wordt in hoofdstuk 12 vergeleken met de bij de IT-audit toegepaste normenkaders om te bepalen of een penetratietest kan worden gebruikt bij een IT-audit. Dit geeft antwoord op de 3 de deelvraag Totstandkoming rapportages Vanuit de bestaande methoden volgt welke onderbouwing aan een penetratietest ten grondslag ligt. Een vergelijking van deze onderbouwing met de (voorbeeld) rapportages van penetratietesten geeft antwoord op de 4 de deelvraag, namelijk of de rapportages van penetratietesten bruikbaar zijn voor een IT-auditor Analyse, conclusie en aanbevelingen Vervolgens vindt een confrontatie plaats tussen de benodigdheden voor een oordeelsvorming enerzijds en de totstandkoming van rapportages anderzijds. Deze confrontatie biedt inzicht in de eventuele discrepanties tussen de huidige methoden en rapportages van penetratietesten en de benodigde informatie voor de IT-auditor om tot een oordeel te komen. Met deze analyse kan een antwoord worden gegeven over de toegevoegde waarde van een penetratietest voor IT-auditors. 2.4 Verantwoording enquête Door middel van een enquête is inzicht gekregen in de door penetratietesters gebruikte methoden en standaarden. Deze enquête geeft antwoord op de volgende vragen: - Welke methoden gebruiken penetratietesters? - Welke standaarden gebruiken penetratietesters? - Hoe bepalen penetratietesters het risico van een kwetsbaarheid? - Welke onderdelen staan in een pentetratietestrapport? De enquête is gemaakt met behulp van ThesisTools ( en is opgesteld in het Engels om een zo groot mogelijk publiek te bereiken. De vragen staan in bijlage 1Fout! Verwijzingsbron niet gevonden.. De enquête is uitgezet via de volgende media: Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 7

8 - (Oud)studenten van de postinitiële masteropleiding IT-Auditing; - De pen-test mail groep (pen-test@securityfocus.com); - Via het forum van security.nl ( - Diverse groepen op LinkedIn (Ehtical Hacker, GIAC, NOREA, Redteam: Association of Penetration Testers, Offensive Security Professionals) - Via Twitter ( De totale grootte van de groep wordt geschat tussen de en personen. De groepen die het verzoek hebben gekregen om deze enquête in te vullen zijn allemaal gerelateerd aan penetratietesten of IT-auditing. Hierdoor zal de totale populatie voor deze vakgebieden een heterogene massa zijn. De enquête is ingevuld door 174 respondenten in de periode van 24 mei 2011 en 24 augustus De betrouwbaarheid van de enquête wordt bepaald door het aantal respondenten, de variabiliteit (het verschil tussen de antwoorden) en het betrouwbaarheidsniveau (Bush & Burns, 2011): z = betrouwbaarheidsniveau p = variabiliteit n = steekproefgrootte p (1 p) maximale fout α = z n Vanwege de vele vragen, is de variabiliteit (het verschil tussen de antwoorden) divers en is het noodzakelijk om de maximale waarde van p=50 aan te nemen. Standaard is het betrouwbaarheidsniveau 95%, wat betekend dat met 95% zekerheid gezegd kan worden dat de gemeten waarde representatief is voor de werkelijke waarde. Met de bovenstaande gegevens is de foutenmarge 7,4%, wat betekent dat de gemeten waarde tussen ±7,4% ligt. Met andere woorden, als 70% van de respondenten een positief antwoord gegeven heeft, dan licht de werkelijke waarde tussen de 62,6% en 77,4%. De volledige resultaten van de enquête staan in bijlage 2. Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 8

9 3 Definities van penetratietest en IT-audit 3.1 Inleiding Dit hoofdstuk geeft antwoord op de vraag wat precies een penetratietest en een IT-audit is. Vooral voor een penetratietest worden verschillende termen gebruikt, zoals een legal hack, een vulnerabilty scan/assessment, ethical hack of security scan. Volgens Scarfone (Scarfone et al, 2008) en Herzog (Herzog, 2006) dekken deze verschillende termen een andere lading. Er is een onderscheid tussen twee verschillende soorten testen: een kwetsbaarhedenscan en een penetratietest. De betekenis van beide type staan hieronder, zodat het verschil duidelijk is. Daarna volgt de definitie van een IT audit en een vergelijking tussen een penetratietest en een ITaudit. 3.2 Definitie van een kwetsbaarhedenscan Hieronder volgen een aantal definities van een kwetsbaarhedenscan. Na deze definities volgt een samenvattende definitie om de vergelijking met de definitie van een penetratietest te maken. National Institute of Standards and Technology Het National Institute of Standards and Technology (Scarfone et al, 2008) geeft de volgende definitie: Een kwetsbaarhedenscan identificeert automatisch systemen en kenmerken van systemen (zoals OS, applicaties en open poorten) en probeert kwetsbaarheden te ontdekken. De definitie van het NIST geeft aan dat er een automatisch proces plaats vindt. Het doel van dit proces is om kwetsbaarheden te ontdekken in de te testen systemen. De definitie beschrijft niet hoe een tester om moet gaan met de resultaten. Open-Source Security Testing Methodology Manual De Open-Source Security Testing Methodology Manual (OSSTMM) (Herzog, 2006) verstaat het volgende onder een kwetsbaarhedenscan: Een kwetsbaarhedenscan controleert systemen in een netwerk geautomatiseerd op kwetsbaarheden. De definitie van de OSSTMM lijkt in grote lijnen op de definitie van de NIST. De definitie beschrijft niet hoe een tester om moet gaan met de resultaten. Wikipedia Wikipedia (Wikipedia, 2013) heeft de volgende definitie voor een vulnerability scanner: Een vulnerability scanner test computersystemen, netwerken en applicaties op kwetsbaarheden. Samenvattende definitie Er zijn weinig definities van vooraanstaande partijen te vinden voor een vulnerability scan. De definities hierboven beschrijven alle drie dezelfde aspecten: - Geautomatiseerd - Controle op kwetsbaarheden Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl 9

10 10 Geen van de definities beschrijft of een tester de resultaten van de geautomatiseerde scan moet analyseren of verifiëren. Gezien het voorgaande, zijn de bovenstaande definities als volgt samengevat: Een kwetsbaarhedenscan is een geautomatiseerde test om kwetsbaarheden op te sporen in IT systemen. 3.3 Definitie van penetratietesten Een aantal bronnen geeft een definitie van penetratietesten. Deze bronnen zijn ook voorgelegd aan de geënquêteerden (zie ook bijlage 1) om te kijken welke definities de lading dekkingen. De geënquêteerden waardeerden alle definities ongeveer hetzelfde. Door de verschillende definities samen te voegen tot één enkele definitie kan deze gebruikt worden om het verschil tussen een (IT-)audit en een penetratietest duidelijk te maken. Bundesamt für Sicherheit in der Informationstechnik Het Bundesamt für Sicherheit in der Informationstechnik (BSI, 2008) definieert een penetratietest als volgt: Het verzoek om van buiten een bepaald computersysteem of netwerk gecontroleerd binnen te dringen om zwakheden te identificeren. De tester past hiervoor dezelfde of vergelijkbare technieken toe, zoals deze ook bij een werkelijke aanval worden gebruikt Het BSI is een vooraanstaand instituut in Duitsland. In de definitie van het BSI valt op dat zij gebruik maken van het woord gecontroleerd. Bij penetratietesten wordt geprobeerd misbruik te maken van zwakheden in het systeem. Misbruik maken van zwakheden brengt risico s met zich mee. De BSI verwijst in de definitie naar technieken die bij een werkelijke aanval worden gebruikt. Dit is het risico waar de meeste opdrachtgevers van een penetratietest zich tegen willen beschermen. National Institute of Standards and Technology Het National Institute of Standards and Technology (NIST) (Scarfone et al, 2008) heeft de volgende definitie: Penetratietesten is een veiligheidstest waarbij de tester een werkelijke situatie nabootst om methoden te ontdekken om de veiligheidsmaatregelen van een applicatie, systeem of netwerk te omzeilen. De tester voert op echte systemen en data aanvallen uit met programma s en technieken die door aanvallers worden gebruikt. Penetratietesten kijken naar een combinatie van kwetsbaarheden om meer toegang te krijgen dan met een enkele kwetsbaarheid mogelijk is. De NIST heft een uitgebreide definitie van penetratietesten. Ook de NIST beschrijft het simuleren van een werkelijke aanval. De toevoeging dat een penetratietester kijkt naar een combinatie van kwetsbaarheden is één van de verkoopargumenten van penetratietesters ten opzichte van een kwetsbaarhedenscan.

11 11 Open-Source Security Testing Methodology Manual De Open-Source Security Testing Methodology Manual (OSSTMM) (Herzog, 2006) gebruikt de Oulu University Secure Programming Group (OUSPG ) Vulnerability Testing Terminology (Takanen), die voor de betekenis van penetratietesten verwijst naar de Glossary of Computer Security Terms (Gallagher Jr., 1988). Het deel van de veiligheidstest waarbij de testers proberen om de beveiligingsmaatregelen van een system te omzeilen. De testers gebruiken alle systeemdocumentatie en implementatiedocumentatie, inclusief de broncode, handleidingen en diagrammen. De testers werken met dezelfde beperkingen als normale gebruikers. De definitie die door de Glossary wordt beschreven heeft als uitbreiding dat de testers alle documentatie mogen gebruiken. Penetratietesten met voorkennis wordt white box testen genoemd (Laplante, 2010). Penetratietesten kunnen ook zonder voorkennis kunnen worden uitgevoerd en worden dan black box testen genoemd. Information Systems Audit and Control Association (ISACA) ISACA (ISACA, 2010) hanteert de volgende definitie voor penetratietesten: Een test op een werkend systeem om de effectiviteit van de beveiligingsmaatregelen te testen door middel van het nabootsen van handelingen van echte aanvallers. Ondanks de korte definitie, bevat deze de meeste aspecten in de voorgaande definities ook beschreven zijn. Vergelijking van definities Hieronder is aangegeven welke termen voorkomen in de verschillende definities: Tabel 1: Gebruikte termen bij de definitie van een penetratietest BSI NIST OSSTMM ISACA Totaal Computersysteem Netwerken Systeem maatregelen evalueren 1 2 maatregelen omzeilen Binnendringen 1 1 Hackertechnieken Combineren 1 1 Totaal De definitie van de NIST is de meest uitgebreide van de hierboven aangehaalde definities. De meeste definities hebben het over computers, netwerken en/of systemen, dus een algemene term daarvoor zou IT componenten zijn. De definities verschillen in wat er precies moet worden gedaan. Zij spreken over binnendringen, beveiligingsmaatregelen omzeilen of evalueren. Het uiteindelijke doel van de beveiligingsmaatregelen is het blokkeren van toegang door onbevoegden to de informatie en processen. Een penetratietest evalueert de effectiviteit van de beveiligingsmaatregelen tegen het gebruikte type aanval. De meeste van de definities beschrijven dat deze evaluatie moet gebeuren door middel van het nabootsen van aanvallen zoals deze ook in de werkelijkheid voorkomen.

12 12 Alle definities van een penetratietest beschrijven dat de test moet worden uitgevoerd door een tester. Dit in tegenstelling tot een kwetsbaarhedenscan, die uit gaat van een geautomatiseerde scan. Een geautomatiseerde scan veroorzaakt over het algemeen meer false positives dan een handmatig uitgevoerde test. Een false positive is een door de scanner of tester gedetecteerde kwetsbaarheid die niet aanwezig is op het systeem (Mell, Bergeron, & Henning, 2005). De verschillende definities zijn ook voorgelegd aan de geënquêteerden (zie ook bijlage 1 en 2). Hieruit blijkt dat de meeste definities grotendeels overeenkomen met de verwachting van de geënquêteerden. Maar 40% van de respondenten hebben bij de definitie van OSSTMM aangegeven dat deze definitie grotendeels of gedeeltelijk overeenkomt met de term penetratietest. Dit is in lijn met de vergelijking, waarbij de OSSTMM weinig termen heeft die in de andere definities voorkomen. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% BSI NIST OSSTMM Wiki ISACA A bit Mostly Totally Figuur 2: Percentage respondenten dat overeenkomsten ziet met de definitie voor penetratietesten uit de norm Samengevatte definitie De bovenstaande definities zijn als volgt samengevat: Een penetratietest heeft als doel de doeltreffendheid van de beveiligingsmaatregelen in IT componenten te evalueren. De tester evalueert deze maatregelen door middel van het nabootsen van aanvallen zoals deze ook in de werkelijkheid voorkomen. 3.4 Vergelijking penetratietest met kwetsbaarhedenscan Een penetratietest en een kwetsbaarhedenscan proberen allebei zwakheden te vinden in IT componenten. Als de definities uit de theorie met elkaar worden vergeleken, komen daar belangrijke verschillen uit. De belangrijkste verschillen tussen een penetratietest en een kwetsbaarhedenscan zijn: 1. Bij een kwetsbaarhedenscan worden de kwetsbaarheden met een geautomatiseerd systeem opgespoord. Bij een penetratietest gebeurt dit door het nabootsen van aanvallen door een tester. Dit impliceert dat een penetratietest beter kan inspelen op onverwachte gebeurtenissen omdat de logica van de geautomatiseerde tools hier geen rekening mee

13 13 houdt. Daarnaast kan de penetratietester ook gevonden kwetsbaarheden verder analyseren om te bepalen of een combinatie van kwetsbaarheden meer toegang tot het systeem geeft. 2. Het resultaat van een kwetsbaarhedenscan is een lijst met gevonden kwetsbaarheden. De volledigheid en juistheid van deze lijst hangt af van de gebruikte software en de instellingen. In deze lijst van kwetsbaarheden komen false positives voor. Dit zijn kwetsbaarheden waarvoor tijdens het testen indicatoren aanwezig zijn dat deze bestaan. Echter, in de gebruikte configuratie van het systeem is deze kwetsbaarheid niet aanwezig (Herzog, 2006, pp ; Barceló & Herzog, 2010). Het resultaat van een penetratietest is een lijst met gevonden kwetsbaarheden die door de tester zijn geverifieerd. Dit geeft zekerheid dat het mogelijk is om de gevonden kwetsbaarheden ook uit te buiten op het systeem. Daarnaast achterhaalt de tester welke mogelijkheden bestaan om misbruik van de kwetsbaarheden te maken. 3. De toestand van het te testen systeem veranderd in de tijd. Het aantal gebruikers en de belasting fluctueert en ook de processen die actief zijn varieert in de tijd. Dit kan de resultaten van een penetratietest en ook van een kwetsbaarhedenscan beïnvloeden. Als er naar aanleiding van de bovenstaande punten een kwetsbaarheid niet gevonden wordt, heet dit een false negative (Mell, Bergeron, & Henning, 2005). 4. Naast de bovengenoemde factoren die betrekking hebben op een kwetsbaarhedenscan en op een penetratietest, zijn de uitkomsten van een penetratietest ook nog afhankelijk van: a. Het kennisniveau van de testers. b. De beschikbare tijd voor het uitvoeren van de test. 5. De rapportage van een kwetsbaarhedenscan levert over het algemeen een uitdraai van een tool op met veel informatie. De penetratietesters leveren een rapportage die de bevindingen op een gestructureerde manier weergegeven. De penetratietesters houden hierbij rekening met de beveiligingseisen van de opdrachtgever en aanwezige informatie op een systeem. 3.5 Definitie van een (IT-)audit Voor de definitie van een (IT-)audit zijn een aantal bronnen geraadpleegd. Dit leidt tot een samenvattende definitie om het verschil tussen een (IT-)audit en een penetratietest duidelijk te maken. The SysAdmin, Audit, Network, Security Institute (SANS) Het SANS instituut (SANS, 2010) heeft de volgende definitie voor een audit: Een audit is het vergaren van informatie en analyseren van middelen om zeker te stellen dat deze informatie en middelen voldoen aan de naleving van regels en beveiligd zijn tegen kwetsbaarheden. In deze definitie is onduidelijk wat precies het object van onderzoek is. Ook is onduidelijke op welke kwaliteitsaspecten de genoemde kwetsbaarheden betrekking hebben. De definitie benoemt wel een norm (naleving van regels). Wikipedia Wikipedia geeft een uitgebreide beschrijving van de definitie voor IT-audit. Deze geven ook een onderverdeling in de activiteiten die uitgevoerd moeten worden bij een IT-audit. Volgens Wikipedia (Wikipedia, 2010) heeft een IT-audit de volgende definitie:

14 14 Een IT-audit is een handmatige of een systematische meetbare technische evaluatie van een systeem of applicatie. Handmatige evaluaties bestaan uit het houden van interviews met personeel, het uitvoeren van kwetsbaarhedenscans, het evalueren van toegangscontrolesystemen in applicaties en besturingssystemen en het analyseren van fysieke toegang tot de systemen. Geautomatiseerde evaluaties bestaan uit door het systeem gegenereerde logbestanden of software voor het toezicht houden op veranderingen van bestanden en instellingen op een systeem. Information Systems Audit and Control Association (ISACA) ISACA (ISACA, 2010) hanteert de volgende definitie voor een audit: Een formele inspectie en verificatie om te onderzoeken of een standaard of richtlijn is gevolgd, data accuraat is of efficiëntie- en effectiviteitdoelen worden gehaald. Ook deze definitie geeft niet precies aan wat het object van onderzoek is. De definitie beschrijft diverse kwaliteitsaspecten en ook een norm. Informatiebeveiliging onder controle In Informatiebeveiliging onder controle (Overbeek, Roos Lindgren, & Spruit, 2005) staat geen korte definitie van wat precies een IT-audit is. Zij geven een omschrijving van de taken van een IT-auditor. Een samenvatting van deze taken is: Een IT-auditor geeft een oordeel op basis van een norm naar aanleiding van een onderzoek. Dit oordeel en onderzoek hebben betrekking op een auditobject. Het auditobject bestaat uit informatiesystemen of onderdelen daarvan en omvat zowel de technische componenten als de organisatorische processen. Het onderzoek en het oordeel hebben altijd betrekking op een bepaalde verzameling eigenschappen of kenmerken van het auditobject, de auditaspecten. Informatiebeveiliging onder controle verwijst voor deze kenmerken naar IT-auditing Aangeduid: NOREA Geschrift nr. 1 door de Nederlandse Orde van Register EDP-Auditors (NOREA) (Bienen, Noordenbos, & Pijl, 1998). Zij onderkennen zeven auditaspecten: - Effectiviteit - Efficiency - Exclusiviteit - Integriteit - Controleerbaarheid - Continuïteit - Beheersbaarheid. Als afsluiting bij de taken van een IT-auditor merken Overbeek, Roos Lindgren en Spruit op dat een oordeel voor de meeste opdrachtgevers niet genoeg is. De opdrachtgever verwacht ook een advies voor het oplossen van de geconstateerde problemen.

15 15 Auditing, audit, auditor, wat moeten we er mee? Het artikel Auditing, audit, auditor, wat moeten we er mee? (Kocks, 2008) geeft de volgende definitie van een audit: Een audit is een onderzoek met als doel het, door middel van het verzamelen en beoordelen/evalueren van evidence, toetsen van één of meer aspecten van een gedefinieerd object aan een vastgestelde (set) norm(en) met als doel om op grond van de resultaten van die toetsing, één of meer gecertificeerde oordelen te geven aan de opdrachtgever of (via de opdrachtgever) aan derden. Deze definitie is de meest complete korte definitie, waarin een object van onderzoek, norm, kwaliteitsaspecten en een oordeel worden genoemd. Interne en externe EDP-auditors Het artikel Interne en externe EDP-auditors; werkterrein, onafhankelijkheid en samenwerking uit het handboek EDP-auditing (Zwaan & Kronnie, 2007) geeft een definitie voor het vakgebied EDPauditing: Het vakgebied dat zich bezig houdt met het beoordelen van één of meer kwaliteitsaspecten van de (onderdelen van) informatievoorziening in een omgeving waar sprake is van informatietechnologie. Ook deze definitie beschrijft een object van onderzoek (informatievoorziening), kwaliteitsaspecten en een oordeel. De definitie geeft niet aan of een norm gebruikt moet worden. Vergelijking van definities Hieronder is aangegeven welke termen voorkomen in de hierboven behandelde definities: Tabel 2: Gebruikte termen bij de definitie van een (IT-)audit SANS Wiki ISACA Info controle Kocks Zwaan Totaal Oordeel kwaliteitsaspecten Auditobject Norm Informatiesysteem Advies 1 1 Naleving Onderzoek Veiligheid Totaal De hierboven beschreven definities geven aan dat een IT-audit op de één of andere manier een oordeel geeft. Dit doen ze naar aanleiding van een onderzoek van de kwaliteitsaspecten van een auditobject. Het auditobject is in de meeste definities een informatiesysteem of -voorziening. De auditor vormt een oordeel over de mate van naleving van een norm. Samengevatte definitie Samenvattend leidt dit tot de volgende definitie:

16 16 Een IT-audit geeft een oordeel over kwaliteitsaspecten van een informatievoorziening. Dit oordeel wordt gevormd door de bevindingen over de kwaliteitsaspecten af te zetten tegen de gehanteerde norm. 3.6 Het verschil tussen een penetratietest en een IT-audit Voor de volledigheid staan hieronder de samengevatte definities: Penetratietest IT-audit Een penetratietest heeft als doel de doeltreffendheid van de beveiligingsmaatregelen in IT componenten te evalueren. De tester evalueert deze maatregelen door middel van het nabootsen van aanvallen zoals deze ook in de werkelijkheid voorkomen. Een IT-audit geeft een oordeel over kwaliteitsaspecten van een informatievoorziening. Dit oordeel wordt gevormd door de bevindingen over de kwaliteitsaspecten af te zetten tegen de gehanteerde norm. Een IT-audit heeft als object van onderzoek de informatievoorziening, wat breder is dan de IT componenten bij een penetratietest. Dit komt ook tot uiting in de werkzaamheden die worden uitgevoerd. Bij een penetratietest wordt gebruik gemaakt van programma s om de doeltreffendheid van maatregelen te verifiëren. Bij een IT-audit worden meerdere technieken ingezet, zoals interviews, data analyse en ook kwetsbaarhedenscans. Het object van onderzoek wordt bij een penetratietest beoordeeld op de doeltreffendheid van de maatregel. Bij een IT-audit worden diverse kwaliteitsaspecten beoordeeld, zoals effectiviteit, integriteit en continuïteit. De doeltreffendheid van maatregelen komt in grote mate overeen met de effectiviteit (van maatregelen) bij een IT-audit. Hiermee is de invalshoek van een penetratietest een subset van de invalshoek van een IT-audit. Er wordt bij de definitie van een penetratietest niet gesproken over een norm alleen maar over een werkwijze om tot het resultaat te komen. Het uiteindelijke resultaat bij een IT-audit is een oordeel of het object van onderzoek voldoet aan de norm. Bij een penetratietest wordt aangetoond of de getroffen maatregelen afdoende werken om de informatie te beschermen. Bij de definitie wordt niet gesproken over een oordeel. In de onderstaande tabel worden de verschillen gepresenteerd: Tabel 3: Overzicht verschillen tussen een IT-audit en een penetratietest IT-audit Penetratietest Object van onderzoek Breed Smal Technieken Veelzijdig 1 werkprogramma Kwaliteitsaspecten Meerdere Effectiviteit Oordeel Ja Nee

17 17 4 Auditmethoden 4.1 Inleiding De tweede en derde deelvraag zijn: 2. Welke penetratietestmethoden kan een opdrachtgever voorschrijven aan de partij die de penetratietest uitvoert? 3. Voldoet de bij de penetratietest voorgeschreven methode aan de normen die de beroepsgroep aan een IT-auditor stelt? Om de tweede en derde deelvraag te kunnen beantwoorden, volgt in dit hoofdstuk de ITauditmethoden. De opleiding voor IT-auditor op de Erasmus universiteit besteedt veel aandacht aan de theorieën die een audit ondersteunen. De opleiding doceert aan de hand van de auditmethodologie en een ballenschema welke onderdelen in een audit horen. Deze twee theorieën worden in de volgende paragrafen toegelicht. Ook worden de NOREA richtlijnen toegelicht. Deze zijn noodzakelijk bij het uitvoeren van een assurance opdracht door IT-auditors. De theorie uit dit hoofdstuk wordt gebruikt bij de vergelijking met een penetratietest. 4.2 Auditmethodologie Figuur 3: Schema auditmethodologie volgens Babeliowsky, Hartog & Otten De opleiding voor EDP-auditor aan de Erasmus Universiteit doceert de auditmethodologie (Babeliowsky, Hartog, & Otten, 2002). Met de auditmethodologie voert de auditor samen met de opdrachtgever een kennisbehoefteanalyse uit. Hierbij achterhaalt de auditor welke kennisbehoefte de opdrachtgever heeft. Dit resulteert in drie typen auditvragen:

18 18 1. Een probleemsignalerende audit: De audit analyseert of er een probleem is. 2. Een diagnostische audit: De audit stelt vast wat het probleem veroorzaakt. Bij de opdrachtgever is al bekend wat het probleem is, maar heeft hij nog geen zekerheid over de oorzaken van het probleem. 3. Een ontwerpgerichte audit: De audit bepaalt of de aangedragen oplossing het geconstateerde probleem oplost. Vanuit de kennisbehoefteanalyse kan het conceptueel ontwerp worden beschreven met daarin onder andere de doelstelling, het model en de beoordelingscriteria van de audit. Het conceptueel ontwerp geeft een goed beeld hoe de auditor het onderzoek gaat aanpakken. Het eerste onderdeel van het conceptueel ontwerp is de doelstelling. De opdrachtgever heeft een doel voor ogen. De auditor kan dit doel helder krijgen door de volgende vragen te gebruiken: - Welke problemen spelen er? - Wat zijn de achtergronden? - Welke aspecten zijn van belang? De auditor kan, vanuit zijn achtergrond en ervaring, de opdrachtgever helpen bij het beantwoorden van de bovenstaande vragen om zo de auditdoelstelling vast te stellen. De volgende onderdelen komen ook aan bod in het conceptueel ontwerp: - Het auditmodel bakent de audit inhoudelijk af en benoemt het auditobject en de auditoptiek. - De beoordelingscriteria beschrijven de norm waaraan de variabelen uit de auditoptiek moeten voldoen. - Bij begripsbepaling en operationalisatie worden de aspecten en het object verder afgebakend en de aanpak voor de beoordeling verder uitgewerkt. De bovenstaande stappen vormen het conceptuele model, dat als uitgangspunt dient voor de audit. Het technische ontwerp omschrijft de uitvoering van de audit door middel van de volgende onderwerpen: - Het auditmateriaal beschrijft welke gegevensbronnen worden gebruikt bij de audit en op welke vragen deze bronnen antwoord moeten geven. Hierbij is het van belang dat er voor iedere vraag meerdere bronnen worden geselecteerd. Het technisch ontwerp geeft aan hoe de gegevensverwerking op hoofdlijnen zal plaats vinden en hoe deze gegevensverwerking leidt tot de oordeelsvorming. - De auditstrategie bepaalt of een breedtestrategie of een dieptestrategie wordt gekozen. Een breedtestrategie maakt gebruik van zoveel mogelijk bronnen en is geschikt voor een probleemsignalerende audit. Een dieptestrategie geeft de auditor inzicht en is meer geschikt voor een diagnostisch onderzoek. - Tijdens het verwerken van de gegevens wordt een oordeel gevormd over het object van onderzoek. - De rapportage legt het onderzoek en de conclusie vast. - De planning beschrijft wanneer bovenstaande stappen worden uitgevoerd. Het auditontwerp beschrijft de aanpak van een audit. Door deze stappen uit te voeren en nauwgezet te volgen, is de audit transparant en reproduceerbaar uitgevoerd.

19 Ballenschema Figuur 4: Ballenschema volgens Pasmooij De opleiding voor EDP-auditor aan de Erasmus Universiteit doceert ook de methode volgens het bovenstaande ballenschema (Pasmooij, 2009). De auditmethodologie is bruikbaar bij iedere audit, terwijl het ballenschema specifiek is bedoeld voor een IT-audit. Het schema geeft een invulling van het conceptuele model uit de auditmethodologie. Het schema kan gebruikt worden als een handleiding bij het bepalen van de doelstelling van de audit, het object van onderzoek, de scope en afbakening, de kwaliteitscriteria en de normen. Voor de vergelijking met penetratietesten zijn alleen de vraagstelling opdrachtgever, de doelstelling van de audit, scope en afbakening, aandachtsgebieden, kwaliteitsaspecten en normenkader relevant. Deze onderdelen zijn hieronder uitgewerkt. Vraagstelling opdrachtgever en doelstelling van de audit De vraag van de opdrachtgever, bepaalt het doel van de audit. Deze vraag zal samen met de auditor moeten worden vertaald in het doel. Uit dit doel vloeien de overige aspecten van de audit voort. Eisen aan de auditor De opdrachtgever stelt eisen aan de auditor, waaronder deskundigheid, onpartijdigheid, onafhankelijkheid en geheimhouding. Deze eisen staan in het reglement gedragscode van de beroepsgroep voor IT-auditors (NOREA, 2006). De auditor moet de vraagstelling van de opdrachtgever doorgronden, om zo efficiënt en effectief antwoord te geven.

20 20 Mate van zekerheid De auditor bepaalt in welke mate van zekerheid hij geeft over het antwoord. De auditor maakt onderscheid tussen beperkte mate van zekerheid en redelijke mate van zekerheid (NBA, 2012), (NOREA, 2007). Scope en afbakening De doelstelling bepaalt de scope en de diepgang van de opdracht. Daarnaast zorgt de benoeming van de aandachtsgebieden en de verschijningsvorm voor de afbakening van het object van onderzoek. In de richtlijnen van NOREA worden bij auditopdrachten onderscheid gemaakt tussen opzet, bestaan en werking, (NOREA): - Opzet: Het ontwerp van de maatregelen; - Bestaan: Wordt de opzet daadwerkelijk uitgevoerd? - Werking: Zijn de maatregelen in een bepaalde periode effectief? Aandachtsgebieden De methode onderscheidt de volgende aandachtsgebieden bij een audit: - Organisatie; - Processen; - Systemen. Kwaliteitsaspecten De kwaliteitsaspecten in dit schema zijn dezelfde als gedefinieerd bij de definitie uit Informatiebeveiliging onder controle en komen uit IT-auditing Aangeduid: NOREA Geschrift nr. 1. Normenkader Zoals in Figuur 4 weergegeven, moet een norm aan de volgende eisen voldoen: - Objectief - Maatschappelijk draagvlak; - Eenduidig; - Relevant; - Toepasbaar; - Meetbaar; - Risicodekkend. Een IT-audit gebruikt vaak een standaard norm, zoals CobiT (IT Governance Institute, 2007) of ISO (ISO/IEC JTC 1, SC 27, 2005) die aan deze eisen voldoen. Daarnaast kan de auditor een normenkader met de opdrachtgever afspreken. De auditor kon met behulp van het ballenschema volgens Pasmooij een aanpak voor de audit uitwerken en zo tot een gefundeerd oordeel over het object van onderzoek te komen. 4.4 NOREA richtlijn voor assurance-opdrachten door IT-auditors De beroepsorganisatie van IT-auditors schrijft in haar gedrags- en beroepsregels voor waar een assurance-opdracht aan moet voldoen. Dit doet zij in de Richtlijn voor assurance-opdrachten voor IT-auditors (NOREA, 2007) en het daarbij behorende Raamwerk voor assurance-opdrachten door

21 21 IT-auditors (NOREA, 2007). Deze beroepsregels schrijven voor aan welke voorwaarden een door een IT-auditor uitgevoerde opdracht moet voldoen. Daarnaast schrijven zij voor welke onderdelen in een rapportage aan bod moeten komen en welke informatie nodig is om tot een oordeel te komen. Voorwaarden aan een opdracht Als eerste stellen de beroepsregels eisen aan de IT-auditor (de beroepsbeoefenaar). Hij moet voldoen aan de eisen uit het Code of Ethics voor IT-auditors (NOREA, 2006). Voor de kwaliteitsbeheersing moet de IT-auditor vast stellen dat de verantwoordelijkheden correct zijn belegd en dat de IT-auditor de juiste kennis heeft voor het uitvoeren van de opdracht. De opdrachtvoorwaarden moeten schriftelijk worden vastgelegd in een opdrachtbevestiging. Een gedegen planning zorgt voor een doeltreffend en doelmatig onderzoek en helpt bij het tijdig signaleren van problemen. De IT-auditor neemt kennis over het object van onderzoek en omstandigheden die nodig zijn voor het maken van de planning en de opdrachtvoorwaarden. De ITauditor oordeelt of het object van onderzoek aanvaardbaar is en of de criteria toepasbaar zijn. Onderzoek en rapportage De IT-auditor beoordeelt de assurance-informatie op de toereikendheid voor het vormen van een oordeel. De IT-auditor volgt een systematisch proces, waaronder het aanleggen van een dossier, met daarin in ieder geval: a. Verkrijgen van kennis over het object van onderzoek b. Verkrijgen van kennis over de interne beheersingsmaatregelen. c. Inschatten van het risico op onjuistheden. d. Ontwikkelen van een aanpak naar aanleiding van de risico s. e. Uitvoeren van de aanpak. f. Evalueren van de informatie. De verantwoordelijke partij bevestigt de informatie, om misstanden in een later stadium te voorkomen. De bovenstaande punten leveren een oordeel met een redelijke mate van zekerheid of een beperkte mate van zekerheid. In het eerste geval wordt de conclusie door de NOREA in positieve bewoording gevormd: Wij zijn van oordeel dat de interne beheersingsmaatregelen volgens de toetsingsnormen XYZ in alle van materieel belang zijnde opzichten effectief zijn. In het tweede geval wordt de conclusie door de NOREA in negatieve bewoording gevormd: Op grond van onze in dit rapport beschreven werkzaamheden is ons niets gebleken op basis waarvan wij zouden moeten concluderen dat de interne beheersingsmaatregelen volgens de toetsingsnormen XYZ niet in alle van materieel belang zijnde opzichten effectief zijn. Het rapport van de IT-auditor bevat in ieder geval de volgende elementen: a. opschrift dat de aard van het rapport duidelijk maakt (assurance-rapport); b. geadresseerde; c. een beschrijving van het object van onderzoek en de informatie over het object;

22 22 d. vermelding van de criteria; e. beperkingen; f. verspreidingskring; g. verantwoordelijke partijen; h. verwijzing naar de richtlijn; i. samenvatting van de uitgevoerde werkzaamheden; j. conclusie; k. datum; l. naam en vestigingsplaats van de IT-auditor. 4.5 Vergelijking methoden voor een audit De aanpak volgens Pasmooij geeft een invulling van het conceptuele gedeelte uit de auditmethodologie: Tabel 4: Auditmethodologie vs ballenschema 5 Auditmethodologie 7 Ballenschema 6 conceptueel model (aanpak) Kennisbehoefteanalyse doelstelling afbakening auditobject auditoptiek (variabelen) beoordelingscriteria Vraagstelling opdrachtgever Doelstelling audit Scope/Afbakening Object van onderzoek Invalshoek/Kwaliteitsaspecten Normen/Eisen normenkader De voorwaarden die aan een opdracht worden gesteld door de richtlijn voor assurance-opdrachten zijn voor iedere opdracht die een auditor uitvoert van belang en verschillen dus niet tussen een ITaudit en een door een IT-auditor uitgevoerde penetratietest. De richtlijnen bij het uitvoeren van een onderzoek hebben betrekking op de waarde van informatie en de onafhankelijkheid van de auditor en niet zozeer op de invulling van het onderzoek.

23 23 8 Methoden penetratietesten 8.1 Inleiding Zoals in hoofdstuk 3 is beschreven, is een belangrijk verschil dat een IT-audit een normenkader gebruikt om een oordeel te vormen. Dit normenkader zorgt er voor dat het oordeel dat gegeven wordt bij een IT-audit reproduceerbaar zijn. Voor penetratietesten zijn slechts een beperkt aantal normenkaders beschikbaar. Wel zijn er verschillende methoden die voorschrijven hoe een tester een penetratietest uitvoert. Door een methode te volgen kan een penetratietest reproduceerbaar uitgevoerd worden. Een vergelijking van deze methoden maakt de verschillen en overeenkomsten duidelijk en kan worden gebruikt om te bepalen welk normenkader de opdrachtgever aan de penetratietester moet voorschrijven. Deze vergelijking beantwoord deelvraag 2: 2. Welke penetratietestmethoden kan een opdrachtgever voorschrijven aan de partij die de penetratietest uitvoert? De methoden die hier beschreven zijn, geven de handelingen aan die de tester moet uitvoeren bij een penetratietest. Sommige van de methoden geven aan wat de gewenste uitkomst van deze handelingen moet zijn. Door deze handelingen zo nauwkeurig mogelijk vast te leggen, bereikt de ITauditor dat de uitgevoerde werkzaamheden reproduceerbaar zijn. Of de uitkomsten reproduceerbaar zijn, is afhankelijk van de toestand van de geteste systemen op het moment van de test. Om te bepalen welke methoden veel gebruikt worden, is dit aan de geënquêteerden voorgelegd. Zij hadden de keuze uit de volgende methoden: - OSSTMM: The Open Source Security Testing Methodology Manual (Barceló & Herzog, 2010); - NIST: Technical Guide to Information Security Testing and Assessment, NIST SP (Scarfone et al, 2008); - ISSAF: Information Systems Security Assessment Framework (OISSG, 2006); - BSI: A Penetration Test Model (BSI, 2008); - Grundschutz: Information security audit (German Federal Office for Information Security, 2008); - PTF: Penetration Testing Framework (OISSG, 2009); - OWASP: Open Web Application Security Project (Meucci, 2008); - In house developed method; - Other. De resultaten zijn hieronder weergegeven.

24 24 80% 70% 60% 50% 40% 30% 20% 10% 0% Used methods Yearly Monthly Weekly Figuur 5: Percentage geënquêteerden die een methode gebruikt voor penetratietesten Er zijn diverse methoden die beschrijven hoe een tester een penetratietest moet uitvoeren. De meest gebruikte methoden zijn de zelf ontwikkelde en de methode voor webapplicaties (OWASP). Voor de vergelijking van een IT-audit is een formeel geaccepteerde methode nodig die breed inzetbaar is. Daardoor worden de zelf ontwikkelde methode en de OWASP niet meegenomen. De methoden die hier behandeld worden zijn: 1. The Open Source Security Testing Methodology Manual; 2. Technical Guide to Information Security Testing and Assessment, NIST SP ; 3. Information Systems Security Assessment Framework. Hieronder volgt een uiteenzetting van iedere methode met daarbij de te volgen stappen om tot een conclusie over het onderzoeksobject te komen. Daarna worden de methoden met elkaar vergeleken. Deze vergelijking geeft inzicht welke methode in aanmerking komt om voor te schrijven aan penetratietesters (deelvraag 2). 8.2 OSSTMM De Institute for Security and Open Methodologies is een non-profit organisatie met als doel het bewustzijn van informatiebeveiliging te bevorderen. Het instituut voert onderzoek uit en levert trainingen, certificering en projectondersteuning. Eén van de resultaten van het onderzoek is de Open Source Security Testing Methodology Manual. Penetratietesters gebruiken de OSSTMM actief, wat ook blijkt uit de berichtgeving rond deze methode in diverse nieuwsgroepen en mailinglijsten. De eerste stap bij deze methodologie is het definiëren van de doelstelling van de security test. Deze doelstelling gaat er van uit dat de opdrachtgever informatie of systemen wil beschermen. Hierdoor komt de vraagstelling neer op: Is het mogelijk om de maatregelen die ik heb genomen voor datgene wat ik wil beschermen te omzeilen met de methoden zoals gedefinieerd in OSSTMM. De paragraaf rules of engagement stelt diverse eisen aan de tester.

25 25 Volgens de OSSTMM kan een penetratietest op verschillende manieren worden uitgevoerd. De black box en white box test en de varianten daartussen zijn de meest gebruikelijke methoden. Bij een black box test heeft de tester vooraf geen informatie over de beveiliging van een systeem. Bij een white box test heeft de beveiliger de beschikking over alle informatie met betrekking tot de beveiligingsmaatregelen van het systeem. Een black box test simuleert de methodieken die een hacker ook gebruikt. Door middel van een white box test kan de tester sneller en efficiënter testen, waardoor de test goedkoper uitgevoerd kan worden. De OSSTMM beschrijft welke handelingen de tester moeten uitvoeren. De methode geeft niet aan wat een goede en wat een foutieve uitkomst is. De OSSTMM beschrijft als eerste de keuze voor het object van onderzoek, de scope en de invalshoek. De invalshoek beschrijft niet alleen hoe de test wordt uitgevoerd maar ook welke soorten ingangen, zoals fysieke beveiliging, draadloze communicatie en netwerken. De OSSTMM staat ook stil bij de gedrag- en beroepsregels om een penetratietest uit te voeren. Een belangrijk deel van de methode gaat over de kwantificering van de impact van een kwetsbaarheid op een systeem of data. Het doel hiervan is vooroordelen van de tester wegnemen bij het bepalen van de impact. De handleiding geeft het uitvoeren van de penetratietest in de volgende stappen weer: Figuur 6: De stappen bij het uitvoeren van een penetratietest volgens de OSSTMM De methode maakt onderscheid in tien fasen: 1. Passief verzamelen van data tijdens het normale gebruik van de systemen om het object van onderzoek te begrijpen. 2. Actief de systemen blootstellen aan handelingen die vallen buiten het normale gebruik. 3. Analyseren van de data die is verkregen van de uitgevoerde testen. 4. Analyseren van data die indirect is verkregen, zoals procedures en gebruiken. 5. Correleren en combineren van de verkregen resultaten uit de stappen 3 en 4 om de beveiligingsmaatregelen vast te stellen. 6. Vaststellen van foutmeldingen. 7. Waarden vaststellen van het normale en niet-normale gebruik.

26 26 8. Correleren en combineren van de verkregen resultaten uit de stappen 1 en 2 om het optimale niveau van beveiliging vast te stellen. 9. De optimale beveiligingsmaatregelen vergelijken met de aanwezige beveiligingsmaatregelen. 10. Het verschil vaststellen tussen de optimale beveiligingsmaatregelen en de aanwezige beveiligingsmaatregelen. Een onderdeel van de OSSTMM bestaat uit het classificeren van het risiconiveau van de onderzochte systemen. De methode, RAV, geeft door middel van formules een cijfer waaruit blijkt of de systemen veiliger zijn dan de vorige keer dat een test is uitgevoerd. De OSSTMM behandelt de volgende onderdelen: 1. Doel De OSSTMM beschrijft het doel van de penetratietest in hoofdstuk 1. De penetratietest heeft tot doel om te meten of de beveiliging van IT systemen adequaat is. Volgens de OSSTM bestaat de beveiliging uit maatregelen die een bedreiging tegen moet gaan. De maatregelen zijn gekoppeld aan de assurance doelen die met het onderzoek moeten worden bereikt: Tabel 5: Categorieën van beveiligingsmaatregelen uit OSSTMM onderverdeeld naar kwaliteitseisen 9 Information Assurance Doelen 10 Operationele Controles Vertrouwelijkheid Vertrouwelijkheid Privacy Authenticatie Weerstand Integriteit Integriteit Onweerlegbaarheid Beheersing Beschikbaarheid Continuïteit Compensatie Alarmering De OSSTMM beschrijft in hoofdstuk 2 de stappen die een tester moet doorlopen voordat het onderzoek kan plaats vinden. Deze stappen dragen bij aan het beschrijven van het doel van het onderzoek.

27 27 2. Scope De handleiding beschrijft de scope van het onderzoek in hoofdstuk 2 aan de hand van de volgende stappen: 1. Stel vast welke IT componenten moeten worden beschermd. De maatregelen om deze IT componenten te beschermen zijn de controlemaatregelen die getest worden. 2. Identificeer de omgeving rond deze IT componenten, inclusief de maatregelen en processen rond deze componenten. 3. Definieer alles wat nodig is om de test uit te voeren. Dit samen met de componenten uitstap 2 is de scope van het onderzoek. 4. Bepaal hoe de IT componenten om gaan met de buitenwereld en met zichzelf. Dit zijn de aanvalsvectoren. 5. Bepaal welke uitrusting nodig is om de testen uit te voeren. 6. Bepaal de verwachte uitkomst van de test. 7. Stel vast dat de test in lijn is met de afgesproken rules of engagement. 3. Afbakening De afbakening volgt uit het doel en de scope. Bij de afbakening bepalen de tester en de opdrachtgever welke vorm van testen gebruikt wordt (white of black box test). De OSSTMM test de opzet en het bestaan van de controlemaatregelen. De methode beschrijft niet de werking van de maatregelen over een bepaalde periode. 4. Normenkader De OSSTMM stelt geen eisen aan de maatregelen. De tester bespreekt deze eisen vooraf met de opdrachtgever. De eisen bestaan niet uit het formuleren van controlemaatregelen die moeten werken, maar uit informatie die niet ingezien, gewijzigd of onbeschikbaar mag worden. Hieruit volgt dat de eisen een doel formuleren en niet het middel (de maatregelen). 5. Invalshoek De kwaliteitsaspecten staan in hoofdstuk 1 van de OSSTMM expliciet genoemd en zijn beschreven bij het doel NIST SP De National Institute of Standards and Technology is een onderdeel van het U.S. Department of Commerce en houdt zich bezig met meetkunde, standaarden en technologie. De afdeling computerbeveiliging brengt standaarden voor informatiebeveiliging uit, waaronder de NIST special publication De NIST SP geeft als doel dat het uitvoeren van een penetratietest een eis kan zijn vanuit diverse regelgeving. De standaard beschrijft de volgende onderwerpen: - De invalshoek, zoals een interne of een externe test en of de test van te voren binnen het te testen bedrijf bekend is of niet. - De planningsfase bepaalt onder andere de objecten van onderzoek en de afbakening. De NIST beschrijft geen kwaliteitsaspecten.

28 28 - De te volgen stappen om een penetratietest uit te voeren. De standaard beschrijft geen tools of specifieke handelingen, maar een algemeen verhaal over het nut en de noodzaak van de stap en de eventuele beperkingen. - De gewenste uitkomsten van de stappen. Deze uitkomsten zijn beschreven in algemene bewoordingen en laat ruimte voor interpretatie. De NIST geeft aan het eind van ieder hoofdstuk aan wat met welke stap bereikt wordt en welke kennis nodig is om de stap uit te voeren. De werkzaamheden beginnen bij de identificatie van de doelen. Hierbij worden verschillende methoden beschreven om de systemen en hun services in kaart te brengen. Naast netwerk scans en port identificatie beschrijft de standaard kwetsbaarhedenscanning en wireless scanning. De stappen die hierop volgen zijn bedoeld om kwetsbaarheden in het systeem te vinden. Het doel is om aan te tonen dat een kwetsbaarheid bestaat en te laten zien aan welke risico s voor het doel bestaan. De technieken die hiervoor worden beschreven zijn: Het kraken van wachtwoorden, penetratietest en social engineering 1. De NIST besteedt aandacht aan de planning en uitvoering. De uitvoering omvat de coördinatie van werkzaamheden, het verzamelen en bewaren van data en de analyse van de data. Het laatste hoofdstuk van de NIST besteedt aandacht aan de aanbevelingen en de rapportage. De NIST behandelt de volgende onderdelen: 1. Doel De NIST beschrijft het doel van de volgens deze methode uitgevoerde beveiligingstesten in hoofdstuk 1. De beschreven methode bepaalt of kwetsbaarheden voorkomen in systemen en netwerken en onderzoekt of voldaan wordt aan richtlijnen en standaarden. Hoofdstuk 2 van de NIST beschrijft een verdere uitwerking van het doel van een beveiligingstest. De NIST maakt onderscheid in verschillende methoden van testen: - Testen: Controleren of de onderzochte objecten reageren zoals verwacht. - Onderzoeken: De objecten onderzoeken om te begrijpen hoe deze werken. - Interviewen: Door middel van gesprekken achterhalen wat de impact is van de bevindingen. Bovenstaande methoden stellen vast of beveiligingsmaatregelen effectief zijn. 2. Scope Hoofdstuk 2 van de NIST staat kort stil bij de scope van de test. Hoofdstuk 6 bespreekt de planning van de test. De NIST behandelt niet de selectie van objecten. 3. Afbakening De afbakening volgt uit het doel. De NIST test de opzet en het bestaan van de controlemaatregelen. De methode beschrijft niet de werking van de maatregelen over een bepaalde periode. Ook de NIST maakt onderscheid tussen black box en white box testing. 4. Normenkader De NIST stelt geen eisen aan de maatregelen of hoe bepaalde kwetsbaarheden te evalueren. 1 Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door vertrouwelijke of geheime informatie van een gebruiker los te krijgen.

29 29 5. Invalshoek Hoofdstuk 2 van de NIST beschrijft de invalshoek en verwijst expliciet naar het kwaliteitsaspect effectiviteit ISSAF De Open Information Systems Security Group is een non-profit organisatie die het beveiligingsbewustzijn wil stimuleren door middel van onderzoek en ondersteuning van beveiligingsprofessionals. Zij hebben daarbij een methode ontwikkeld waarin per categorie gedetailleerde aanwijzingen staan om de beveiliging te testen. De ISSAF is in PDF formaat uitgegeven, maar dit is een concept versie uit Op het internet staat een levend document waarvan de laatste wijziging in juli 2009 is geweest (OISSG, 2009). De ISSAF is een uitgebreide methode dat voor 22 verschillende objecten van onderzoek aangeeft wat er precies getest moet worden door het uitvoeren van commando s en wat de uitkomst van deze commando s moet zijn. De ISSAF maakt een onderscheid in drie fases, zoals is te zien in Figuur 7. De eerste fase bestaat uit het plannen en voorbereiden van de test. Dit gebeurt onder meer door de identificatie van contactpersonen, een gesprek met de opdrachtgever en de contactpersonen en afspraken over specifieke testen en escalatiemogelijkheden. In dit gesprek worden het auditobject, de afbakening en de invalshoek bepaald. Er worden geen kwaliteitsaspecten genoemd. De tweede fase beschrijft de eigenlijke penetratietest. De penetratietest is onderverdeeld in negen lagen: 1. informatie verzamelen; 2. In kaart brengen van het netwerk; 3. kwetsbaarheden identificeren; 4. binnen dringen; 5. toegang verkrijgen en rechten vergroten; 6. met gevonden informatie opnieuw stappen doorlopen; 7. kwetsbaarheden gebruiken om andere computers aan te vallen; 8. toegang behouden; 9. toegang verbergen. De methode maakt onderscheid in verschillende soorten objecten van onderzoek, zoals netwerk, host, applicatie en database. Ieder object van onderzoek wordt nog verder gespecificeerd naar bijvoorbeeld fabrikant. Voor ieder van deze gespecificeerde objecten van onderzoek is een stappenplan volgens de bovenstaande lagen uitgeschreven met de uit te voeren stappen op commandoniveau en de verwachte uitkomsten.

30 30 Figuur 7: De door het ISSAF voorgeschreven stappen bij het uitvoeren van een penetratietest De ISSAF behandelt de volgende onderdelen: 1. Doel De ISSAF beschrijft kort het doel van een test in de inleiding. Een test volgens deze methode evalueert het netwerk, systemen en applicatiecontroles. De ISSAF beschrijft niet wat geëvalueerd wordt. 2. Scope De beschreven planningsfase geeft aan dat de tester de scope tijdens een gesprek met de opdrachtgever vast stelt. 3. Afbakening De methode geeft geen afbakening over wat getest wordt. Bij de afbakening bepalen de tester en de opdrachtgever welke vorm van testen gebruikt wordt (white of black box test). De beschrijving van de testwerkzaamheden geeft aan dat de werking van de beveiligingsmaatregelen op een bepaald moment getest worden. 4. Normenkader De ISSAF stelt geen eisen aan de maatregelen of hoe de tester bepaalde kwetsbaarheden moet evalueren.

31 31 5. Invalshoek De ISSAF noemt geen expliciete kwaliteitseisen. Wanneer een kwetsbaarheid wordt gevonden volgens deze methode, zegt dat impliciet iets over de effectiviteit van de beveiligingsmaatregelen Vergelijking methoden Om antwoord te geven op de vraag Welke penetratietestmethoden kan een opdrachtgever voorschrijven aan de partij die de penetratietest uitvoert? zijn verschillende methoden beschreven. De methoden die beschreven zijn, verschillen in opzet en diepgang. De NIST is een methode voor het uitvoeren van verschillende soorten beveiligingsaudits, waaronder een penetratietest. Hierdoor blijft de beschrijving van de uit te voeren handelingen beknopt. De NIST geeft geen norm waaraan de te testen onderdelen moeten voldoen. De OSSTMM is op het gebied van penetratietesten uitgebreider dan de NIST. Het staat uitgebreid stil bij de voorwaarden voor een beveiligingsaudit. De OSSTM geeft in detail aan welke aspecten getest worden om tot een oordeel te komen. De OSSTMM heeft als enige een manier om de uitkomst te kwantificeren. De methode schrijft echter niet voor bij welke waarde de beveiliging voldoende is. De ISSAF beschrijft in mindere mate de voorwaarden voor een penetratietest, maar beschrijft de uit te voeren testen tot in detail. De ISSAF gaat zelfs zo ver dat zij beschrijven welke tools gebruikt worden en wat de uitkomst van deze tools moeten zijn. De te verwachte uitkomst van deze tools is een onafhankelijke norm die de tester kan gebruiken bij penetratietesten. Alle drie beschrijven ze grotendeels de voorwaarden waaraan een penetratietest moet voldoen, waarbij de OSSTMM de meest complete beschrijving geeft. De ISSAF beschrijft als enige ook een daadwerkelijke onafhankelijke norm in plaats van alleen maar de stappen om het onderzoek uit te voeren. Hierdoor zal deze norm het minst afhankelijk zijn van de ervaring en inzichten van de tester. Deze norm laat echter weinig ruimte voor onverwachte configuraties en systemen en is afhankelijk van door de norm gebruikte softwareversies en fabrikanten. De OSSTMM beschrijft de te nemen stappen in iets mindere mate van detail dan de ISSAF, maar laat wel ruimte voor verschillende configuraties en systemen. De vergelijking staat in de volgende tabel: Tabel 6: Vergelijking van methoden voor penetratietesten Aspect Omschrijving OSSTMM NIST ISSAF Totaal Doel Wat moet worden bereikt met het onderzoek Scope Welke systemen of procedures worden in het onderzoek beoordeeld Afbakening Wordt opzet, bestaan of werking beoordeeld Normenkader Welke eisen worden aan het onderzoek gesteld Invalshoek Welke kwaliteitsaspecten worden beoordeeld Totaal 4 4 2

32 32 Uit de vergelijking komt naar voren dat de NIST en OSSTMM allebei de meeste aspecten beschrijven die nodig zijn voor een onderzoek. De beschrijving van de scope bij de NIST is echter summier ten opzichte van de OSSTMM. Wanneer penetratietesters de OSSTMM gebruiken tijdens hun onderzoek, sluit dit aan bij de onderzoeksmethoden die door IT-auditors gebruikt worden. De invulling van de methode wordt in het volgende hoofdstuk besproken.

33 33 11 Aanpak penetratietest 11.1 Inleiding Om een penetratietest te vergelijken met de beschreven auditmethoden, volgt hier een beschrijving hoe een penetratietest wordt uitgevoerd. Deze beschrijving is gebaseerd op de hiervoor beschreven methoden. Het hieropvolgende hoofdstuk vergelijkt de methode voor het uitvoeren van een IT-audit en voor het uitvoeren van een penetratietest Aanpak penetratietest Hieronder staan de stappen die worden doorlopen tijdens een penetratietest. De hier gevolgde methode is gebaseerd op de werkzaamheden die zijn beschreven in de Open Source Security Testing Methodology Manual van het Institute for Security and Open Methodologies (Herzog, 2006), de NIST SP : Technical Guide to Information Security Testing and Assessment van de NIST (Scarfone et al, 2008) en Information Systems Security Assessment Framework afgekort als ISSAF van de Open Information Systems Security Group (OISSG) (OISSG, 2006). De NIST beschrijft handelingen voor het testen van netwerkbeveiliging en omvat veel meer dan alleen een penetratietest. De onderdelen uit NIST die hier gebruikt worden zijn Network Scanning, Vulnerability Scanning en Penetration Testing. Alle methoden gebruiken een vergelijkbare aanpak. De NIST geeft de aanpak als volgt weer: Figuur 8: Schema penetratietesten volgens NIST De planningsfase begint al voor het maken van de offerte. In de planningsfase stelt de tester vast wat de scope van het onderzoek is en welke planning daarmee is gemoeid. In de planningsfase vraagt de tester informatie die in de discovery fase kan worden gebruikt. Deze stappen zijn per methode beschreven in hoofdstuk 8. Iedere van de onderstaande stappen kan nieuwe informatie opleveren. De tester moet met deze nieuwe informatie de voorgaande stappen opnieuw doorlopen. De NIST beschrijft de volgende stappen: 1. informatie vergaren; 2. netwerk in kaart brengen; 3. systemen analyseren; 4. identificeren van kwetsbaarheden; 5. controle gevonden kwetsbaarheden;

34 34 6. verkrijgen van toegang en meer rechten; 7. opruimen. In navolging op het schema dat door de NIST is opgesteld, staan de bovenstaande stappen: Figuur 9: Schema penetratietesten volgens ISSAF Informatie vergaren Omschrijving In deze fase zoekt de tester informatie die nodig is voor het uitvoeren van een penetratietest. Hierbij houdt hij rekening met de objectafbakening die samen met de opdrachtgever is opgesteld. De opdrachtgever kan aangeven welke servers hij wil laten testen, welke servers hij absoluut niet wil laten testen en vanaf welke locatie getest wordt. De tester bespreekt met de opdrachtgever af of de test wordt uitgevoerd met voorkennis (welke ip adressen of informatie over de servers en/of software) en of de medewerkers weten dat de test wordt uitgevoerd. Doel Het doel van informatie vergaren is om een idee te krijgen van het netwerk, de computers en de applicatie die worden gebruikt, zonder het netwerk en de computers te benaderen. Deze informatie vormt het begin van de volgende stappen en geeft een idee op welke manier het netwerk en de computers benaderbaar zijn. Resultaat Naast de door de opdrachtgever verstrekte informatie, worden de resultaten gevonden door het gebruik van zoekmachines op het web en tools voor het opvragen van IP-adresgegevens. De tester bestudeert de documentatie over de gevonden technologieën. Hij levert de volgende resultaten op na het vergaren van informatie: - IP blokken/adressen; - contactgegevens bij IP adressen; - namen en adresgegevens van werknemers; - adressen;