Het belang van Pentesten

Het is een terugkerend thema op het nieuws, een datalek waardoor persoonlijke gegevens op straat liggen. Dit overkomt niet alleen webshops, ook de data van gemeenten en banken lijken haast niet meer veilig.

Zijn onze websites zo onveilig? Zijn hackers steeds slimmer geworden? Of gaan we verkeerd om met data opslag? En nog belangrijker, hoe kunnen we dit voorkomen?

Een eerste stap is om de veiligheidsrisico’s in kaart te brengen. Google betaalt jaarlijks miljoenen aan hackers om hun eigen systemen te hacken. Hierdoor worden mogelijke exploits of zwakke punten tijdig achterhaald, voordat iemand er met gevoelige data vandoor gaat. Nu heeft niet iedereen het budget en de kennis van Google. Een goed alternatief is het zelf Pentesten van de website(s) en systemen.

Wat is Pentesten?

Pentesten is niets anders dan het zelf op zoek gaan naar fouten en beveiligingsrisico’s ter voorkoming van een datalek. Dit kan software gerelateerd zijn, maar ook op andere manieren zoals “social engineering”. Dit is een techniek waarbij er geprobeerd wordt via de zwakste schakel binnen te komen, namelijk de mens.

Na elke software update of uitrol van een nieuw geïmplementeerd systeem, bestaat er de mogelijkheid dat er fouten in de code zitten waardoor ongeautoriseerde personen toegang tot de systemen of het netwerk verkrijgen. Simpel gezegd is het doel van Pentesten om proactief op zoek te gaan naar deze exploits.

Hoe doet VIP dit?

Wij testen met meerdere developers al onze systemen één voor één op een vergelijkbare manier waarop hackers ook toegang willen verkrijgen. Daarnaast wordt een systeem opnieuw getest als er een update of een wijziging is geweest om eventuele kwetsbaarheden op te lossen. Als er hierbij een beveiligingsrisico is gevonden, dan wordt dit verder onderzocht en een veiligheidsvoorstel opgesteld om de impact te bepalen. Dit doen we zodat het risico vroegtijdig opgelost kan worden.

Wat kun je zelf doen?

Er zijn een aantal stappen die je kunt uitvoeren om je website beter te beveiligen.
Een eerste stap is het gebruiken van een SSL-certificaat. Hiermee worden gegevens gecodeerd verstuurd. Een certificaat is herkenbaar aan het groene slotje in de adresbalk.
Een tweede stap is het up-to-date houden van al je plug-ins en software. Oudere versies van software hebben een grote risico om kwetsbaarheden te bevatten. Maar het gecodeerd versturen en updaten van je website alléén is niet voldoende om hackers tegen te houden. De overige veiligheidsrisico’s zijn nog steeds niet zichtbaar.
De laatste stap die wij adviseren is het Pentesten van de systemen, zodat je proactief kunt omgaan met de risico’s. Niet elk bedrijf heeft de luxe van slimme en ambitieuze developers. Wees gerust, je hoeft zelf niet technisch te zijn om je systeem te laten testen. Er zijn voldoende betrouwbare bedrijven welke je kunt inhuren hiervoor.

Veel voorkomende risico’s

De twee meest voorkomende manieren waarop een website wordt aangevallen is door een SQL injectie en Cross Site Scripting (javascript).

Vanwege het voorspelbare gedrag van een webapplicatie die is gekoppeld aan een database, proberen hackers SQL of javascript te injecteren via een input form (dit kan een zoekbalk of een login scherm zijn) of als reactie op een blog. Als er in deze reactie in combinatie met een <script>…</script> tag een stukje javascript wordt meegegeven, dan wordt deze “reactie” bij elke bezoeker ingeladen in de browser als de pagina wordt bezocht. Als de input die hier wordt gegeven niet correct wordt afgevangen in de code van de website, is het mogelijk om in combinatie met een SQL injectie gevoelige data uit de database te halen. Dit betekent dat de data ook gewijzigd, verwijderd of toegevoegd kan worden zonder authenticatie.

Indien je organisatie ondanks deze maatregelen slachtoffer is geworden van een datalek, ben je deze verplicht te melden. Meer informatie over deze meldplicht vind je op de website van autoriteitpersoonsgegevens.

Door onze proactieve instelling met betrekking tot het testen en het voorkomen van beveiligingsproblemen voorkomen we datalekken en risico’s. Hierdoor zijn de gegevens en data van onze klanten al ruim 18 jaar in goede en betrouwbare handen.

Albert Popken - Marketeer & Accountmanager Als Accountmanager en Marketeer weet Albert de vertaalslag te maken tussen Sales & Marketing.

Reacties op dit artikel

  • Inschrijven nieuwsbrief Wil je ook als eerste onze acties en het laatste nieuws in de hosting wereld ontvangen?

Reageer op dit artikel