Port scan, Vulnerability Management of Penetratie test

Sommige mensen denken dat een Penetratie scan hetzelfde is als een Port scan, maar dat is dus niet het geval en wij zullen u uitleggen wat de verschillen zijn.  

Laten we stellen dat uw netwerk uw huis is.  

Dan is Port scannen zoiets als kijken met een verrekijker naar uw huis. Hiermee kunnen we alle deuren en ramen zien en of deze open of dicht zijn. 

De volgende stap zou dan zijn Vulnerability Management en hier zou u dan bijvoorbeeld een huisinspecteur/consulent uitnodigen met een focus op veiligheid. Hij zou langskomen met een clipbord en zou aanbevelingen doen zoals; deze deur is een beetje oud en verrot waardoor deze makkelijk te forceren is. Of het slot is van goedkope makelij en te makkelijk open te breken, moet dus vervangen worden door een beter slot. Hij schrijft dit alles op en maakt hier een rapport van en zo zou je Vulnerability Management uit kunnen leggen.

Als u echt iets goed wilt laten checken kiest u voor een Penetratietest. Hier laten we Arnold Schwarzenegger los gaan op uw huis. Dat zou kunnen zijn door uw ruit in slaan of bijvoorbeeld uw sloten open breken. Hij zal echt tot het uiterste gaan om te kijken of uw “huis” wel goed afgesloten is.  

Argumenten waarom u een Pentest uit wil laten voeren?   

De eerste zou zijn om een lek in een database te voorkomen. Hierover lezen we veel in krantenartikelen, maar ook op internetblogs -en-forums. De pentest geeft aan waar de mogelijke zwakheden in uw netwerk liggen en verder kunnen wij kijken of uw Firewall, Router, Wifi enz. goed is ingesteld. Het gebruikt dezelfde aanval methodieken die een hacker ook tot zijn beschikking heeft. 

Dus met een Penetratie test kunnen wij een aanval op het netwerk simuleren en kan er gekeken worden of uw security maatregelen onze aanvallen wel “zien”. Misschien wilt u uw eigen security mensen niet eens waarschuwen om te kijken of u bv een telefoontje krijgt dat er iets mis is. 

Het is ook mogelijk om door u ontwikkelde software/hardware/app’s te checken hoe veilig ze zijn voordat u “ live” gaat, zodat eigen data en dat van anderen altijd goed beschermd is. 

Stel u bent een CISO bij een nieuw bedrijf en wilt weten waar geld aan uit te geven. Dan is het zinvol om een Pentest te laten doen en zo uit te vinden waarop de focus gelegd moet worden. Geeft aan op welke systemen in te breken is met ABC methodes. 

Een belangrijke reden zou ook kunnen zijn om COMPLIANCE te zijn, want als u bijvoorbeeld PCI Compliance wilt zijn dan moet u ook regelmatig Pentesten uit laten voeren. Als u wat doet met Creditcard betalingsverkeer dan moeten organisaties PCI Compliant zijn.