“Zo’n pentest…kan dat ook niet gewoon met een scannetje of een tooltje?”. Soms komt deze vraag voorbij. Logisch, want er zijn genoeg tools die claimen een volwaardige pentest uit te kunnen voeren door simpel op een knop te drukken. En we komen ze zelfs tegen, gehele “pentest rapportages”. Deze zijn als dusdanig verkocht aan klanten maar blijken in werkelijkheid een geautomatiseerde scan te zijn. Maar, pentesten is mensenwerk.
Een geautomatiseerde scan als pentest?
Dus hoe zit het nu eigenlijk? Kun je een pentest doen met een tool of geautomatiseerde scan? Ik vind van niet. Een tool kan je wel tot dienst zijn. Om bijvoorbeeld een idee te krijgen hoe de applicatie of het netwerk dat je gaat pentesten in elkaar steekt. Een programma helpt je het “laaghangende fruit” te pakken, geeft je inzicht in in versienummers die de applicatie gebruikt en die zijn zo een startpunt voor een pentest.
Een pentest is mensenwerk
Een pentest is veel meer. Het is mensenwerk. Een voorbeeld: een scantool die geautomatiseerd een netwerk bekijkt en zoekt naar bekende kwetsbaarheden (ook wel de “known vulnerabilities” genoemd) zorgt ervoor dat je snel inzicht krijgt in welke kwetsbaarheden er zijn. In veel gevallen kun je databases als Mitre gebruiken om te tonen waar een kwetsbaarheid zich kan bevinden. Ook toont deze wat de impact kan zijn als je de kwetsbaarheid niet snel dicht. Maar veel te vaak komen we tijdens pentesten dingen tegen die een scanner niet had kunnen zien. Denk bijvoorbeeld aan backup bestanden die corrupt blijken te zijn. Of gedeelde schijven op een netwerk waar werkelijk iedereen bij zou kunnen. Hier vind je mogelijk documenten die je niet zou willen delen met iedereen, zoals identiteitsbewijzen.
Ook het combineren van bepaalde aanval vectoren kan een tool niet. Simpelweg omdat de tool niet als een mens kan denken. Althans nog niet. Een aanval vector is bijvoorbeeld wanneer een crimineel zich in het netwerk bevindt en zichzelf door een fout in de rechtenmatrix of een fout in een applicatie kan opwaarderen (we noemen dit “privilege escalation”) naar een gebruiker met hogere rechten. De tool die geautomatiseerd scant kan zeker fouten vinden, maar weet niet welke rechten er bij een gebruiker horen. Dit maakt het ook moeilijk deze gebruiker te waarschuwen. Maar het daadwerkelijk escaleren van gebruikersrechten kan de tool niet.
Automatisch gevonden kwetsbaarheden kunnen false positives zijn
Ook het beoordelen van een kwetsbaarheid gaat in een tool geautomatiseerd. Hoewel dit handig klinkt, is het zo dat een kwetsbaarheid die je vindt met een stukje programmatuur ook een false positive kan zijn. Oftewel een bevinding die lijkt op een kwetsbaarheid maar dat in werkelijkheid niet is. Daarnaast is er dan nog de impact op van de kwetsbaarheid op de organisatie. Hoe hoog wordt die ingeschat? Is het echt high impact of valt het eigenlijk wel mee? Andersom natuurlijk ook: wanneer een tool niets vindt betekent het niet er ook daadwerkelijk niets gevonden kan worden.
Automatische scanners testen niet de integriteit van mensen
Nog een laatste voorbeeld. Vaak wordt gedacht dat een pentest zich enkel bezighoudt met software (applicaties, netwerken, web, dat soort zaken). Soms komt hardware om de hoek kijken bij een pentest. Echter, veel vaker komt het voor dat je een organisatie kunt pentesten op menselijk handelen. Er kunnen enorm veel tools worden ingezet om een beeld te krijgen van de staat van de software en hardware die gebruikt wordt. Zelfs tijdens het pentesten kan dat nog. Maar er is geen enkele scanner die geautomatiseerd de integriteit van mensen kan testen. Daarvoor is nog altijd social engineering voor nodig.
Het pentesten van software, hardware en mensen op kwetsbaarheden blijft dus gewoon mensenwerk. Het is dan ook verstandig om een pentest uit te (laten) voeren waarbij in kaart wordt gebracht waar de kwetsbaarheden zitten, hoe deze uitgebuit kunnen worden en wat je er als organisatie aan kunt doen. Een pentest laten uitvoeren? Wij doen dat graag. Neem hiervoor contact met ons op.