Geautomatiseerde pentesting gebruiken om veerkracht op te bouwen

Cyberbeveiliging
Geautomatiseerde pentesting gebruiken om veerkracht op te bouwen

“Een bokser haalt het grootste voordeel van zijn sparringpartner …”
– Epictetus, 50–135 advertentie

Handen omhoog. Chin verscholen. Knieën gebogen. De bel gaat en beide boksers ontmoeten elkaar in het midden en de cirkel. Red gooit drie jabs weg, geeft een vierde en – Bang – landt een rechterhand op blauw in het midden.

Dit was niet de eerste dag van Blue en ondanks zijn solide verdediging voor de spiegel, voelt hij de druk. Maar er veranderde iets in de ring; De verscheidenheid aan stoten, de schijndieren, de intensiteit – het is niets zoals de simulaties van zijn coach. Is mijn verdediging sterk genoeg om dit te weerstaan? Hij vraagt ​​zich af, Heb ik zelfs een verdediging?

Zijn coach stelt hem gerust: “Als het niet voor al je oefening was, zou je die eerste jabs niet hebben verdedigd. Je hebt een verdediging – nu moet je het kalibreren. En dat gebeurt in de ring.”

Cybersecurity is niet anders. U kunt uw handen omhoog krijgen – de juiste architectuur, beleid en beveiligingsmaatregelen inzetten – maar de kleinste kloof in uw verdediging kan een aanvaller een knock -out punch laten landen. De enige manier om uw gereedheid te testen, is onder druk, sparren in de ring.

Het verschil tussen oefening en het echte gevecht

In boksen zijn sparringpartners overvloedig. Elke dag stappen jagers de ring in om hun vaardigheden tegen echte tegenstanders aan te scherpen. Maar in cybersecurity zijn sparringpartners schaarser. Het equivalent is penetratietests, maar een pentest gebeurt slechts eenmaal per jaar bij een typische organisatie, misschien twee keer, op zijn best elk kwartaal. Het vereist een uitgebreide voorbereiding, het samentrekken van een duur gespecialiseerd bureau en het afzetten van de omgeving om te worden getest. Dientengevolge gaan beveiligingsteams vaak maanden zonder met echte tegenstanders te worden geconfronteerd. Ze zijn compliant, hun handen zijn omhoog en hun kins zijn weggestopt. Maar zouden ze veerkrachtig worden aangevallen?

De gevolgen van zeldzame testen

1. Drift: de langzame erosie van verdediging

Wanneer een bokser maanden zonder sparren gaat, is hun intuïtie saai. Hij wordt het slachtoffer van het concept dat bekend staat als “inches” waar hij de juiste verdedigende beweging heeft, maar hij mist het in centimeter en wordt gepakt door schoten die hij weet te verdedigen. In cybersecurity is dit verwant aan Configuratieafwijking: incrementele veranderingen in het milieu, of dat nu nieuwe gebruikers, verouderde activa zijn, niet langer poorten bezocht, of een geleidelijk verlies in defensieve kalibratie. Na verloop van tijd ontstaan ​​er hiaten, niet omdat de verdedigingen verdwenen zijn, maar omdat ze uit de afstemming zijn gevallen.

2. Niet -gedetecteerde hiaten: de limieten van schaduwboxen

Een bokser en hun coach kunnen alleen zo ver in de training komen. Shadowboxing en boren helpen, maar de coach roept geen onopvallende fouten uit, waardoor de bokser kwetsbaar kan blijven. Evenmin kunnen ze de onvoorspelbaarheid van een echte tegenstander repliceren. Er zijn gewoon te veel dingen die fout kunnen gaan. De enige manier voor een coach om de staat van zijn bokser te beoordelen, is om te zien hoe hij wordt geraakt en vervolgens te diagnosticeren waarom.

Evenzo is het aanvalsoppervlak in cybersecurity enorm en evolueert het voortdurend. Geen enkele pentesting -beoordeling kan anticiperen op elke mogelijke aanvalsvector en elke kwetsbaarheid detecteren. De enige manier om hiaten aan het licht te brengen, is door herhaaldelijk te testen op echte aanvalsscenario’s.

3. Beperkte testbereik: het gevaar van gedeeltelijke testen

Een coach moet zijn jager getesten tegen verschillende tegenstanders. Hij is misschien goed tegen een tegenstander die voornamelijk headshots gooit, maar hoe zit het met body punchers of tegenpunchers? Dit kunnen verbeterde gebieden zijn. Als een beveiligingsteam alleen tegen een bepaald type dreiging test en hun bereik niet verbreedt naar andere exploits, of het nu gaat om het blootgestelde wachtwoorden of verkeerde configuraties, lopen ze het risico dat ze worden blootgesteld aan alle zwakke toegangspunten die een aanvaller vindt. Een webtoepassing kan bijvoorbeeld veilig zijn, maar hoe zit het met een gelekte referentie of een dubieuze API -integratie?

https://www.youtube.com/watch?v=t3ndksdbjo0

Context is belangrijk als het gaat om het prioriteren van fixes

Niet elke kwetsbaarheid is een knock -out punch. Net zoals de unieke stijl van een bokser kan compenseren voor technische fouten, kan het compenseren van controles in cybersecurity risico’s verminderen. Neem Muhammad Ali, volgens normen van het leerboek, zijn verdediging was gebrekkig, maar zijn atletiek en aanpassingsvermogen maakte hem onaantastbaar. Evenzo lijkt de lage voorhand van Floyd Mayweather misschien een zwakte, maar zijn schouderrol veranderde het in een verdedigende kracht.

In cybersecurity benadrukken kwetsbaarheidsscanners vaak tientallen – zo niet honderden – van problemen. Maar ze zijn niet allemaal van cruciaal belang. Alle IT-omgevingen zijn verschillend en een hoogwaardige CVE kan worden geneutraliseerd door een compenserende controle, zoals netwerksegmentatie of strikt toegangsbeleid. Context is de sleutel omdat het het nodige begrip biedt van wat onmiddellijke aandacht vereist versus wat niet.

De hoge kosten van zeldzame testen

De waarde van testen tegen een echte tegenstander is niets nieuws. Boxers Spar om zich voor te bereiden op gevechten. Cybersecurity -teams voeren penetratietests uit om hun verdediging te verharden. Maar wat als boksers tienduizenden dollars moesten betalen elke keer dat ze sparren? Hun leren zou alleen in de ring gebeuren – het gevecht – en de kosten van falen zouden verwoestend zijn.

Dit is de realiteit voor veel organisaties. Traditionele penetratietests zijn duur, tijdrovend en vaak beperkt in reikwijdte. Als gevolg hiervan testen veel teams slechts een of twee keer per jaar, waardoor hun verdediging maandenlang ongecontroleerd blijft. Wanneer een aanval optreedt, worden de openingen blootgesteld – en de kosten zijn hoog.

Continue, proactieve tests

Om hun verdediging echt te verharden, moeten organisaties verder gaan dan zeldzame jaarlijkse testen. In plaats daarvan hebben ze continue, geautomatiseerde testen nodig die real-world aanvallen emuleert. Deze tools emuleren tegenstanders, het blootleggen van hiaten en het bieden van bruikbare inzichten over waar de beveiligingscontroles kunnen worden aangescherpt, het opnieuw kalibreren van afweer en het bieden van precieze fixes voor sanering. Alles doen met regelmatige frequentie en zonder de hoge kosten van traditionele testen.

Door geautomatiseerde beveiligingsvalidatie te combineren met menselijke expertise, kunnen organisaties een sterke defensieve houding behouden en zich aanpassen aan evoluerende bedreigingen.

Meer informatie over geautomatiseerde pentesting door Pentera te bezoeken.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door William Schaffer, senior verkoopontwikkelingsvertegenwoordiger bij Pentera.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

YouTube -testfunctie die aanbevolen video’s toevoegt aan wachtrijen

Apple kan niet aanwezig zijn in de antitrustzaak van Google, de rechtersregel

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]