Doordat met een pentest het niveau van beveiliging op een realistische wijze in de praktijk wordt getoetst is het naar mening van DNB een essentieel onderdeel in het totale pakket van beveiligingsmaatregelen.
Voor de inventarisatie is het proces van pentesten in 4 stappen opgedeeld: (1) Voorbereiding, (2) Offerte & selectie van leveranciers, (3) Uitvoering test en (4) Rapportage. Per processtap zijn de volgende ‘good practices’ in kaart gebracht:
Stap 1: Voorbereiding
- Selecteer en prioriteer pentests op basis van de uitkomsten van het IT risico-analyse proces.
- Formuleer voor de pentest een expliciete onderzoeksdoelstelling.
Stap 2: Offerte & selectie van leveranciers
- Hanteer als leverancier een modulaire opbouw van een offerte met keuzemogelijkheden voor diepgang.
- Rouleer leveranciers en/of interne testers periodiek. Dit voorkomt ‘blindheid’, ondermeer door een andere invalshoek en een andere methodiek.
Stap 3: Uitvoering test
- Voer direct een hertest uit na het oplossen van de bevindingen.
- Voer een ‘holistische’ pentest uit, waarbij een bredere scope wordt gehanteerd dan alleen de techniek.
- Voer source code reviews uit op het naleven van secure coding principes.
- Laat verschillende partijen hetzelfde object testen, hierdoor verkrijgt men een vollediger beeld van de kwetsbaarheden.
- Maak een (D)Dos attack een onderdeel van de pentest.
- Hanteer een standaard aanpak voor een pentest.
Stap 4: Rapportage
- Bepaal de impact van de gevonden kwetsbaarheden op de keten, waar het geteste object deel van uitmaakt.
- Vertaal de gevonden technische kwetsbaarheden naar business risico's.
- Vermeld het bewijs van de bevindingen (test output) als bijlage in het rapport.
- Vermeld concrete oplossingen voor de gevonden kwetsbaarheden.
- Stem inhoud/stijl af op de beoogde doelgroep zodat draagvlak ontstaat voor het oplossen van de bevindingen.
Resultaat inventarisatie
Op basis van de uitgevoerde inventarisatie kan verder het volgende geconstateerd worden:
- Uit de inventarisatie blijkt geen kwaliteitsverschil tussen de aanpak en uitvoering van de testen door de instelling zelf en de aanpak en uitvoering door externe leveranciers.
- Een keurmerk ontbreekt voor leveranciers van pentesters. Professionele leveranciers besteden veel tijd aan het zelf intern opleiden van de medewerkers. Dit is echter niet aantoonbaar gebleken tijdens deze inventarisatie.
- Secure coding blijkt een belangrijke preventieve maatregel om de onderliggende oorzaak van diverse beveiligingslekken weg te nemen.
- Bij diverse instellingen is sprake van een achterstand bij het testen van omgevingen en objecten.
- Het is van belang om de coördinatie van alle processtappen expliciet te beleggen binnen een centrale regiefunctie. In de praktijk kan dit bijvoorbeeld bij een Security Operating Center of bij Risk Management.
DNB adviseert de financiële sector om na te gaan in hoeverre zij zelf deze ‘good practices’ in de praktijk toepassen. DNB zal dit risicogebaseerd toetsen.