Blueprint Security +31 (0) blueprintsecurity.nl. De penetratietest

Transcriptie

1 Blueprint Security +31 (0) blueprintsecurity.nl De penetratietest

2 Voorwoord Vanwege de toename van het aantal schendingen, aanvallen en bedreigingen op het gebied van cyber-veiligheid heeft Blueprint Security dit informatieve document over penetratietesten opgesteld. Organisaties kunnen met een penetratietest mogelijk voorkomen dat kwaadwillenden hun IT-systemen infiltreren. Bedenk dat dit geen uitputtende handleiding is waarin alle aspecten van een penetratietest aan bod komen. Deze handleiding is bedoeld om organisaties de basisbegrippen van een penetratietest bij te brengen en hen daarmee bij te staan in het besluitvormingsproces. * In dit document gebruiken we ook de term pentest voor penetratietest. * Pagina 2 of 17

3 Inhoudsopgave 1 Wat is een penetratietest? Typische aanpak van een penetratietest Soorten penetratietesten White-box penetratietest Black-box penetratietest Grey-box penetratietest Intern-netwerk penetratietest Hoofdprocedures bij intern-netwerk penetratietesten Extern-netwerk penetratietest Webapplicatie penetratietest Mobiele-applicatie penetratietest Waarop u moet letten bij de aanbesteding van een penetratietest Bepaal het doel van de test Bepaal de scope van de test Keuze van leverancier Rapportage Inleiding Samenvatting Penetratietestresultaten Bepaling van het risico Nuttige resources Pagina 3 of 17

4 1 Wat is een penetratietest? Een penetratietest kan veel vormen aannemen, afhankelijk van het type IT-systeem waarvoor de test bedoeld is. In de volgende paragraaf (2) bespreken we de verschillende soorten penetratietests meer gedetailleerd. De eenvoudigste definitie van een penetratietest is een geautoriseerde gesimuleerde aanval op één of meer geselecteerde IT-systemen. Een penetratietest is een preventieve beoordeling van de actuele staat van de geselecteerde IT-systemen. Een penetratietest wordt uitgevoerd door een IT-beveiligingsadviseur die daarbij gebruik maakt van een mix van tools, logica en impliciete kennis om (mogelijke) kwetsbaarheden te signaleren, identificeren en in kaart te brengen. Nadat de mogelijke beveiligingslekken in kaart zijn gebracht, probeert de adviseur deze kwetsbaarheden te benutten om de impact van de gevonden kwetsbaarheden te beoordelen. De klant krijgt vervolgens een rapport van diens bevindingen. Het rapport bevat aanbevelingen ter vermindering van de gevonden problemen. Het doel van een penetratietest is verbetering van de algehele beveiliging van een IT-systeem. 1.1 Typische aanpak van een penetratietest Informatievergaring Network Scans Web Server Scans Application Discovery Application Scans DNS, WHOIS, Internet zoekopdracht TCP, UDP poortscans Service identificatie Kwetsbaarheidsscans Handmatige exploitatie Spidering, Internet zoekopdracht, informatieontsluiting Dreigingsmodellering Application Scans Handmatige exploitatie Handmatige tests Indringingstesten op ontdekte pagina's (OWASP) Applicatielogica testen Verdere testen Servicespecifieke handmatige controles Indien vereist, verdere applicatie-ontdekking, scans en handmatige testen Pagina 4 of 17

5 2 Soorten penetratietesten Er zijn drie vormen van penetratietesten, te weten: white-box, black-box en grey-box penetratietesten. Elke penetratietestvorm kan worden toegepast op vier hoofdcategorieën penetratietesten, namelijk penetratietesten intern-netwerk, extern-netwerk, webapplicatie en mobiele-applicatie. 2.1 White-box penetratietest Een white-box pentest betekent dat de adviseur volledig op de hoogte is van het systeem dat wordt getest, te weten: de systeemarchitectuur, inloggegevens (indien aanwezig) en toegang tot broncode. Dit resulteert in een zeer uitgebreide, betrouwbare en effectieve test. 2.2 Black-box penetratietest Black-box pentesten zijn precies het tegenovergestelde van white-box testen; hierbij heeft de adviseur totaal geen informatie over het te testen systeem of applicatie. Bij een black-box pentest moet de adviseur de applicatie of het systeem onderzoeken en analyseren; hij kan daarbij minder uitgebreide resultaten bieden dan bij een white-box pentest. Het voordeel van een black-box pentest is dat het een nauwkeuriger simulatie van een real-world aanval is. 2.3 Grey-box penetratietest Een grey-box pentest is een mengvorm van white- en black-box pentesten. De adviseur krijgt daarbij niet alle informatie, maar wel enkele belangrijke gegevens. Hij krijgt de beschikking over bijvoorbeeld inloggegevens en summiere achtergrondinformatie. De greybox pentest is een kosteneffectieve methode die uitgebreide resultaten mogelijk maakt en waarbij tevens een real-world aanval wordt gesimuleerd. Pagina 5 of 17

6 2.4 Intern-netwerk penetratietest Met een intern-netwerk penetratietest wordt de actuele staat van interne IT-systemen en/of andere netwerkapparaten beoordeeld. Met deze pentestvorm wordt een aanval vanuit het eigen netwerk van de klant gesimuleerd. Een intern-netwerk penetratietest geeft een beeld van de bedreigingen waaraan organisaties zijn blootgesteld vanuit het perspectief van een kwaadwillende insider of een hacker van buiten die de randbeveiliging heeft omzeild. Het hoofddoel van een intern-netwerk penetratietest is het verkrijgen van onbevoegde toegang tot het netwerk en mogelijk toegang tot vertrouwelijke informatie op interne IT-systemen Hoofdprocedures bij intern-netwerk penetratietesten Catalogiseren en in kaart brengen (Enumeration and mapping) - Begin met poortscanning en kwetsbaarheidsscanning om het interne network in kaart te brengen en mogelijke beveiligingslekken te detecteren. De adviseur concentreert zich op onderdelen die een zwakkere beveiliging hebben, lekken vertonen of onjuist geconfigureerd zijn. Exploitatie van kwetsbaarheden De adviseur probeert de aangetroffen kwetsbaarheden te exploiteren. Hiermee krijgt hij mogelijk toegang tot systeemonderdelen. Afhankelijk van het toegangsniveau probeert de adviseur nog verder binnen te komen via: Privilege Escalation De adviseur probeert maximale toegang te krijgen op systeemonderdelen. Lateral Movement De adviseur probeert onderdelen op het netwerk binnen te dringen en via zo'n kwetsbaar onderdeel andere delen op het netwerk binnen te dringen. Daarmee verhoogt hij de kans domeinbeheerder te worden. Een volledig geïnfiltreerde netwerkinfrastructuur - Dit is het uiteindelijke doel van de adviseur: toegang krijgen tot zo veel mogelijk bedrijfskritische informatie. Pagina 6 of 17

7 2.5 Extern-netwerk penetratietest Met een extern netwerk pentest wordt de beveiliging van de infrastructuur van de klant aan de internet-kant gecontroleerd. Een extern-netwerk penetratietest herkent beveiligingslekken in verbindingen tussen de bedrijfsnetwerken en het Internet. Dit type test onderscheidt zich van bijvoorbeeld een webapplicatie penetratietest doordat deze zich uitsluitend richt op het netwerk- en systeemniveau in plaats van het applicatieniveau. 2.6 Webapplicatie penetratietest Een webapplicatie penetratietest is gericht op het beoordelen van de beveiliging van elk type webapplicatie. De adviseur analyseert de webapplicatie op bekende kwetsbaarheden (OWASP Top 10 en SANS Top 25) en probeert deze kwetsbaarheden te exploiteren ter beoordeling van het risico dat de applicatie voor de organisatie heeft. 2.7 Mobiele-applicatie penetratietest Een mobiele-applicatie penetratietest komt overeen met een webapplicatie pentest. In een mobiele-applicatie pentest moet de adviseur echter de mobiele applicatie zelf en de backend waarmee de applicatie communiceert beoordelen en nagaan hoe de applicatie en het besturingssysteem met elkaar in wisselwerking staan. Uit verschillende industrieverslagen blijkt dat veel mobiele applicaties last hebben van: i. Lekkage van gevoelige gegevens; ii. Onveilige communicatie; iii. Onveilige gegevensopslag op het apparaat zelf. Afhankelijk van het besturingssysteem waar de mobiele applicatie op draait, variëren de percentages en waarschijnlijkheden. Bij een mobiele-applicatie pentest draait het om de volgende kernpunten: i. Zendt de applicatie onnodige gevoelige gegevens naar de back-end server, zoals locatiegegevens? ii. Communiceert de applicatie veilig met de back-end? Implementeert ze extra beveiligingsmaatregelen om veilige communicatie te waarborgen? iii. Hoe slaat de applicatie gegevens op het apparaat op? Zijn ze veilig versleuteld? De opslag is bijvoorbeeld versleuteld, maar er wordt misschien gebruik gemaakt van een hardcoded encryptiesleutel. Pagina 7 of 17

8 3 Waarop u moet letten bij de aanbesteding van een penetratietest Wanneer uw organisatie besluit een penetratietest uit te voeren, moet u niet vergeten enkele essentiële vragen te stellen aan potentiële leveranciers van IT-beveiliging. Onderstaand leggen we een aanbestedingsraamwerk voor het beheer van een pentest-project en de selectie van een geschikte leverancier voor. 3.1 Bepaal het doel van de test In deze fase moet uw organisatie bepalen wat er moet worden getest. Investeren in beveiliging is een kostbare bezigheid; daarom is het belangrijk een balans zien te vinden tussen investering in beveiliging en budgettering. Bepaal de doelen en krijg steun van het topkader. Die doelen kunnen een combinatie zijn van: Tabel 1 Doel Primair of secundair doel? Bescherming van de gegevens van belanghebbende Vermindering van de financiële aansprakelijkheid voor niet-naleving van de regelgeving (bijvoorbeeld GDPR) Bescherming intellectueel eigendom van het bedrijf Garantie hoog vertrouwensniveau ten opzichte van klanten Vermindering van de kans op infiltratie om de reputatie van het merk te beschermen Pagina 8 of 17

9 3.2 Bepaal de scope van de test Na vaststelling van de doelen bekijkt u welke systemen beveiligd moeten worden om deze doelen te halen. Denk hier bijvoorbeeld aan: i. Bedrijfskritische systemen; ii. iii. iv. Systemen die persoonlijke en klantgegevens bevatten; Systemen waarvan u vermoedt dat ze niet voldoende beveiligd zijn; Componenten die interfacen met het Internet; v. Applicaties van externe softwareleveranciers. Zodra vastgesteld is welke systemen in aanmerking komen, verzamelt u de volgende informatie (tabel 1.2). Met deze informatie kunnen leveranciers de reikwijdte van de penetratietest vaststellen en uw organisatie een nauwkeurige offerte aanbieden. Pagina 9 of 17

10 Een potentiële leverancier moet over de volgende gegevens beschikken om u een nauwkeurige prijsindicatie te kunnen geven: Tabel 2 Soort test Vereiste details Intern-netwerk penetratietest i. Aantal servers, fysiek en virtueel; ii. Aantal workstations; iii. Aantal VLAN's; iv. Aantal andere netwerkapparaten zoals printers. Extern-netwerk penetratietest i. Te testen IP-bereik(en) of het totale aantal IP-adressen. Webapplicatie penetratietest i. Te testen URL's; ii. Voor een white- of grey-box pentest voorziet u in een verzameling testgegevens of legt u een intakegesprek vast. De reden hiervoor is dat de vereiste tijd sterk kan variëren op basis van de omvang en complexiteit van uw applicatie. Mobiele-applicatie penetratietest i. De applicatie zelf, ofwel als downloadlink van een app store of als installeerbaar bestand. ii. Voor een white- of grey-box pentest voorziet u in een verzameling testgegevens of legt u een intakegesprek vast. De beste manier is om 2 of 3 leveranciers een offerte te vragen en na te gaan of er sprake is van grote verschillen in het benodigd aantal dagen voor de penetratietest. Hiermee kunt u nagaan waarom er verschillen zijn. Bijvoorbeeld verschillende testmethoden, verschillende typen testen (kwetsbaarheidscanning versus handmatige penetratietest), hoe ze omgaan met te veel of te weinig reikwijdte, enz.. Pagina 10 of 17

11 3.3 Keuze van leverancier Behalve de kosten van een penetratietest moet u ook een aantal andere factoren in aanmerking nemen (tabel 3). Deze hebben te maken met de kwaliteit van het werk zelf: Tabel 3 Selectiecriteria Ja/Nee en Reden waarom Bezit het bedrijf een breedgedragen ITbeveiligingsgerelateerde certificering? Zo ja, welk(e) certifica(a)t(en) Hebben de adviseurs ervaring in de IT-beveiliging en dito certificaten? Zo ja, welk(e) certifica(a)t(en) Kunnen ze referenties voorleggen, bij voorkeur industriespecifiek? Bezitten ze de juiste verzekering, in het onwaarschijnlijke geval dat er problemen optreden tijdens de pentest? Zijn alle adviseurs gescreend? Is hun achtergrond gecontroleerd? Volgen ze de testmethodes strikt? Zo ja, welke? Is hun rapportage: Consistent Reproduceerbaar Nauwgezet Hoe garanderen ze constante kwaliteit? Beschikken ze over goede klantondersteuning? Zijn ze flexibel in termen van planning of specifieke vereisten? Staan ze in direct contact met hun adviseurs? Hoe gaan ze om met de vaststelling van te weinig of te veel reikwijdte? Hebben ze een vaste of flexibele prijs? Nazorg - Is alles inclusief vervolgmeeting en/of - presentatie? Hoe staan ze tegenover hertesten? Pagina 11 of 17

12 4 Rapportage Zoals hierboven vermeld; consistente, reproduceerbare en nauwgezette rapportage met strikte kwaliteitsgarantie is van cruciaal belang bij de keuze van een ITbeveiligingsleverancier. In deze paragraaf zullen we de algemene structuur van een penetratietestrapport behandelen zodat u inzicht krijgt in wat u mag verwachten van het te leveren product. 4.1 Inleiding De inleiding bevat: i. Wat getest is; ii. Welke adviseurs de test uitvoerden; iii. Op welke dagen er getest werd; iv. Wie de test autoriseerde; v. De reikwijdte van de test, in connectie met: a. URL s b. Componenten c. IP's, etc. d. In geval van een mobiele-applicatie pentest, de hash van het applicatiearchief. Pagina 12 of 17

13 4.2 Samenvatting In de samenvatting worden de bevindingen en meest kritische kwetsbaarheden belicht op basis van het bedrijfsrisico dat ze vormen: 0 Risicofactoren 1 Kritisch 2 Hoog Gemiddeld 6 0 Laag Ter info Bovendien moet in het samenvatting een strategische aanbeveling worden opgenomen over hoe de kwetsbaarheden globaliter kunnen worden verminderd. Geef uw ontwikkelaars bijvoorbeeld een opleiding voor veilige ontwikkeling. Pagina 13 of 17

14 4.3 Penetratietestresultaten Een rapport moet een hoofdstuk bevatten waarin de kwetsbaarheden in een tabel worden samengevat op basis van impact en kans, welke tezamen het gevaarniveau geven (kritisch, hoog, gemiddeld, laag of ter info). Een voorbeeld van zo'n tabel wordt hieronder weergegeven: Tabel 1.4 Paragraaf Beschrijving Impact Kans Gevaar Pagina Onvoldoende API Access Control Hoog Hoog Kritisch Reflected Cross-Site Scripting Hoog Gemiddeld Hoog Applicatie implementeert geen Jailbreak Detection Hoog Gemiddeld Hoog Services ondersteunen Insecure Gemiddeld Laag Laag 10 Encryption Protocols HSTS niet afgedwongen Gemiddeld Laag Laag Geen robots-bestand gedetecteerd Gemiddeld Laag Laag IIS onthult software-versie zien in Laag Gemiddeld Laag 12 HTTP-headers Ontbrekende HTTP Securityheaders Laag Gemiddeld Laag PHP Informatiepagina Laag Gemiddeld Laag 13 Elke bevinding moet vervolgens in detail uitgeschreven worden, met een 'proof of concept' dat het volgende illustreert: I. Hoe de kwetsbaarheid ontdekt en/of geëxploiteerd werd? II. Waarom deze precies dit impact- en kansniveau heeft gekregen? III. Wat de aanbeveling is om het gevaar van elke kwetsbaarheid apart te minimaliseren? Pagina 14 of 17

15 4.4 Bepaling van het risico De technisch adviseurs van Blueprint Security beoordelen risico's door middel van een risicobeoordelingssysteem dat gebaseerd is op de OWASP-risicobeoordelingsmethode. Er worden schattingen afgegeven voor zowel de impact van als de kans op een gedetecteerde kwetsbaarheid. Impact De schatting van de impact is gebaseerd op de volgende factoren: Technische impact: Verlies van Betrouwbaarheid Verlies van Integriteit Verlies van Beschikbaarheid Verlies van Toerekenbaarheid Impact voor de onderneming: Financiële schade Reputatieschade Niet-naleving Schending van de gegevensbeveiliging Voorbeelden: Hoge impact: Gemiddelde impact: Lage impact: Een kwetsbaarheid die, indien gebruikt, toegang geeft tot persoonsgebonden of financiële informatie. Verlies van beschikbaarheid van een essentieel bedrijfssysteem. Verlies van beschikbaarheid van een bedrijfssysteem. Informatieverstrekking die, hoewel niet vertrouwelijk, kan leiden tot reputatieschade. Onnodige openbaarmaking van niet-vertrouwelijke informatie die nuttig kan zijn voor een aanvaller, zoals versies of patchniveaus. Verlies van beschikbaarheid van een niet-essentiële dienst. Pagina 15 of 17

16 Kans De schatting van de kans is gebaseerd op de volgende factoren: Bedreigingsfactoren: Vaardigheid van potentiële aanvaller Motivatie van aanvaller Geboden gelegenheid Groepsgrootte van potentiële hackers Kwetsbaarheidsfactoren: Gemak van ontdekking Gemak van uitbuiting Besef Detectie van indringers Voorbeelden: Hoge kans: Gemiddelde kans: Lage kans: Een gemakkelijk te exploiteren kwetsbaarheid die leidt tot onbevoegde toegang tot systemen of netwerken. Een configuratie zonder diepgaande verdedigingsaanpak die de beschadiging van een systeem of netwerk zou kunnen voorkomen. Verborgen, nauwelijks bekende of erg moeilijk uit te buiten kwetsbaarheid die kan leiden tot onbevoegde toegang tot systemen of netwerken. Risico De combinatie van schattingen van impact en kans is een maat voor de ernst van het totale risico: Ernst van het totale risico Hoog Gemiddeld Hoog Kritisch Impact Gemiddeld Laag Gemiddeld Hoog Laag Ter info Laag Gemiddeld Laag Gemiddeld Hoog Kans Pagina 16 of 17

17 5 Nuttige resources Ter afsluiting van deze informatieve handleiding hebben wij een lijst opgenomen met nuttige koppelingen en bronnen met extra informatie, mochten uw vragen nog niet allemaal zijn beantwoord. Handleidingen voor penetratietesten: Methoden voor risicoanalyse: Penetratietest framework: Topgereedschap voor penetratietesten: Meer info over Blueprint Security: Blueprint Security Pagina 17 of 17