Denk als een hacker, want boeven vang je alleen met boeven
Wil je echt weten of je netwerk, NAS en servers veilig zijn? Niemand die je dat beter kan vertellen dan een hacker. Gespecialiseerde bedrijven bieden inmiddels ‘gehackt worden’ aan als ultieme beveiligingstest van je bedrijfsinfrastructuur. Vragen om gehackt te worden voelt contra-intuïtief aan, maar het is een beproefde methode die zijn dienst keer op keer bewijst.
Grote investeringen in de IT zijn geen garantie voor veiligheid. Ze leiden juist vaak tot meer complexiteit en maken het risico op een fout in het ontwerp of de configuratie groter. Maar ook wie zich bij het inrichten van zijn IT volledig aan de richtlijnen en best practices houdt, kan later worden ingehaald door een eerder onbekende kwetsbaarheid. En een hacker heeft aan één ingang vaak voldoende. Een beveiligingsscan kan dergelijke fouten blootleggen en biedt je de kans ze te herstellen voor er misbruik van wordt gemaakt.
Scenariodenken
Als je denkt in scenario’s ben je het beste voorbereid. Daarom bestaat een scan van een tester vaak uit drie scenario’s die trapsgewijs steeds meer kennis van het bedrijf veronderstellen. Je hebt de Black box-penetrationtest, de Gray box-penetrationtest en tot slot de White box-penetrationtest. Bij die eerste variant weten de testers niets van je IT-omgeving. Bij de grijze variant weten ze al iets over je systemen, maar krijgen ze geen inloggegevens. In de witte versie weten ze alles.
Cursus Certified Ethical Hacker
Je kunt als bedrijf ook zelf specialiseren. Bij TSTC in Veenendaal kun je bijvoorbeeld de cursus CEH training -Certified Ethical Hacker v10 volgen. De cursus is erg populair en is regelmatig volgeboekt, maar er zijn meerdere aanvangsdata per jaar waardoor er altijd wel een plekje voor je is. De cursus is in het Nederlands, maar eind september is er één in het Engels.
Het is interessant om te zien dat deze training uitgaat van het principe ‘boeven vangen met boeven’, zoals we in de inleiding hierboven beschreven. In de Certified Ethical Hacker (CEH) v10-training leer je de beveiliging van een organisatie te bekijken (en testen) door de ogen van een hacker. Ondanks alle inspanningen om een applicatie of netwerk te beveiligen, blijken hackers toch steeds weer in staat om kritische informatie bij organisaties te ontfutselen. Als de cursus je goed afgaat kun je bij TSTC een vervolgcursus volgen om je te kunnen ontwikkelen tot penetratietester.
Eerste Hulp bij een Hack
Afgaand op het toenemend aantal digitale inbraken waar het bedrijfsleven mee te kampen heeft, is de cursus geen luxe. Het is niet voor niets dat vorige maand het Nederlands Cyber Collectief het ‘Eerste Hulp bij een Hack’, lanceerde. Naar analogie van E.H.B, is de E.H.B.H een algemeen spoedadvies voor slachtoffers van een hack. Het zijn de voornaamste maatregelen die je à la minute zelf kunt nemen om schade te beperken en herhaling te voorkomen.
‘Veel mensen raken bij een hack in paniek en zetten abrupt de computer uit,’ vertelde directeur van Het Collectief. Kokke van der Werf, bij de introductie van het hulpmiddel. Dat is natuurlijk precies wat je niet moet doen. De E.H.B.H is een mooi begin om je te weren tegen criminele activiteiten. Maar net als dat je met je E.H.B.O nog geen arts bent, ben je met de E.H.B.H nog geen (ethical) hacker. Het helpt je wel een belangrijk probleem van deze tijd onder ogen te zien en wellicht een begin te maken met een plan van aanpak. Om met de woorden van Van der Werf te eindigen: ‘De rust bewaren en de juiste stappen zetten. Daar draait het om. Niet alleen om de schade te beperken, maar ook om de oorzaak te vinden om zo herhaling te voorkomen.’