Penetratietests helpen organisaties ervoor te zorgen dat IT-systemen veilig zijn, maar mogen nooit worden behandeld in een one-size-fits-all aanpak. Traditionele benaderingen kunnen rigide zijn en uw organisatie tijd en geld kosten, terwijl ze inferieure resultaten opleveren.
De voordelen van pentesten zijn duidelijk. Door ‘white hat’-hackers in staat te stellen uw systeem binnen te dringen met behulp van vergelijkbare tools en technieken als een tegenstander, kunnen pentests de zekerheid bieden dat uw IT-installatie veilig is. Misschien nog belangrijker is dat het ook gebieden voor verbetering kan signaleren.
Zoals het Britse National Cyber Security Centre (NCSC) opmerkt, is het vergelijkbaar met een financiële audit.
“Uw financiële team houdt de uitgaven en inkomsten van dag tot dag bij. Een audit door een externe groep zorgt ervoor dat de processen van uw interne team voldoende zijn.”
Hoewel de voordelen voor de hand liggen, is het essentieel om de werkelijke kosten van het proces te begrijpen: de klassieke aanpak kan vaak veel tijd en moeite van uw team vergen. Je moet waar voor je geld krijgen.
Pentesten verborgen kosten
Er bestaat niet één vaste vorm van pentest: het hangt af van wat er precies wordt getest, hoe vaak de pentest plaatsvindt en hoe deze plaatsvindt. Niettemin zijn er enkele gemeenschappelijke elementen van de klassieke aanpak die aanzienlijke kosten met zich mee kunnen brengen, zowel financieel als qua tijd van uw medewerkers.
Laten we eens kijken naar enkele kosten die misschien niet meteen voor de hand liggen.
Administratieve overheadkosten
Er kan veel administratie betrokken zijn bij het regelen van een “traditionele” pentest. Ten eerste moet u de planningen coördineren tussen uw eigen organisatie en de testers die u hebt ingehuurd om de test namens u uit te voeren. Dit kan aanzienlijke verstoringen voor uw werknemers veroorzaken, waardoor ze worden afgeleid van hun dagelijkse taken.
Bovendien moet u voordat de test kan plaatsvinden een duidelijk overzicht ontwikkelen van de middelen en middelen die u tot uw beschikking heeft, bijvoorbeeld door systeeminventarisaties te verzamelen. U moet ook toegangsreferenties voor de hackers voorbereiden, afhankelijk van het type pentestaanpak dat u van plan bent te volgen: de testers hebben deze inloggegevens bijvoorbeeld nodig om een scenario te ontwikkelen dat is gebaseerd op het risico dat een ontevreden medewerker zich bijvoorbeeld op uw systemen richt.
Complexiteit in kaart brengen
Nogmaals, het bepalen van de precieze reikwijdte van de test is belangrijk: wat valt binnen de reikwijdte van de hackers, en wat moet buiten de reikwijdte blijven?
Dit wordt intern bepaald en is gebaseerd op verschillende factoren, afhankelijk van de precieze behoeften van de organisatie; Er kunnen bijvoorbeeld toepassingen zijn die niet in de test meegenomen kunnen worden. Ongeacht de redenen zal het bepalen van de algehele reikwijdte van de tests tijd vergen.
Dit staat uiteraard niet in steen gebeiteld: sommige organisaties kunnen te maken krijgen met zeer geavanceerde omgevingen, die in de loop van de tijd veranderen. U zult middelen moeten besteden aan het beoordelen van de potentiële impact van deze veranderingen. Moet u, naarmate uw omgeving verandert, nieuwe elementen toevoegen waarop de testers zich kunnen richten?
Dit alles brengt het risico van ‘scope creep’ met zich mee, waarbij een pentest zijn oorspronkelijke doelstellingen te boven gaat en extra werk (en kosten) met zich meebrengt voor zowel het interne team als de externe testers.
Indirecte kosten
Zoals we hebben gezien, kunnen pentests van nature aanzienlijke verstoringsrisico’s voor uw team met zich meebrengen, inclusief operationele verstoringen tijdens de testperiode. Het is essentieel om dit vanaf het begin onder controle te houden.
Er zijn ook de tijd en kosten die gepaard gaan met herstel, een enigszins slecht gedefinieerde fase die overleg met de testers zou kunnen omvatten om eventuele problemen die tijdens het testen van de pen zijn ontstaan, te overwinnen en op te lossen. Dit kan zelfs gepaard gaan met opnieuw testen – het lanceren van nog een pentest om te controleren of alles nu veilig is.
Dit alles kan uw organisatie extra tijd en geld opleveren.
Uitdagingen op het gebied van budgetbeheer
U moet ook overwegen hoe u voor het werk betaalt. Kiest u bijvoorbeeld voor een fixed-cost prijsmodel, waarbij de testers een vast tarief hanteren? Of ga je voor ‘tijd en materialen’, waarbij ze een uurtarief bieden op basis van geschatte uren (of via een andere maatstaf), maar er iets bovenop komen?
“Er is een reden waarom het zo moeilijk is om de kosten van penetratietesten te benchmarken: elke test bij elk bedrijf is uniek”, merkt Network Assured op, dat onafhankelijke prijsrichtlijnen biedt voor pentests en andere cyberbeveiligingsdiensten.
Als dit het geval is, hoe kunt u dan het beste rendement op uw investering behalen en de kosteneffectiviteit optimaliseren?
Pentesten als een service (PTaaS)
Om ervoor te zorgen dat u precies de pentestmogelijkheden krijgt die u nodig heeft (tegen de juiste kosten), kan een ‘as-a-service’-aanpak vruchten afwerpen. Een dergelijke aanpak kan worden aangepast aan uw behoeften, waardoor de risico’s op onnodige inspanningen worden verminderd.
CyberFlex van Outpost24 combineert bijvoorbeeld de sterke punten van onze Pen-testing-as-a-service (PTaaS) en External Attack Surface Management (EASM)-oplossingen, waardoor continue dekking van de applicatie-aanvalsservice wordt geboden op een flexibel consumptiemodel. Hierdoor krijgen organisaties volledig inzicht in hun kosten en mogelijkheden, en kunnen ze tegelijkertijd voldoen aan de behoeften op het gebied van ontdekking, prioritering en rapportage die zij nodig hebben.
Pentesten zijn van cruciaal belang om de systemen van uw organisatie te verdedigen, maar geavanceerde mogelijkheden hoeven niet veel geld te kosten. Door een slimme aanpak te hanteren, gebaseerd op het op het juiste moment leveren van de diensten die u nodig heeft, kunt u de kwetsbaarheden ontdekken die u moet aanpakken, zonder onnodige verstoringen of onnodige kosten te veroorzaken. Boek vandaag nog een live CyberFlex-demo.
