Resultaten onderzoeksthema Pentesten

Relevant voor:: afo, ba, bi, bo, bti, cl, egi, pf, ppi, tk, vz, wi
Status:: Factsheet
Datum:: 23 januari 2014

Geldigheid:: geldig
Referentie:: 01582
Auteur:: DNB

In 2013 heeft DNB bij meerdere financiële instellingen een inventarisatie uitgevoerd van de gehanteerde ‘good practices’ op het gebied van penetratie testen (pentesten). Een pentest is een gesimuleerde aanval op de IT-infrastructuur van een instelling, waarbij getracht wordt de aangetroffen kwetsbaarheden ook daadwerkelijk te gebruiken om in te breken. Een pentest vindt normaal gesproken plaats om legitieme redenen en met toestemming van de eigenaar van de IT-infrastructuur. Pentesten worden als dienst door externe leveranciers aangeboden, maar kunnen ook intern door eigen personeel uitgevoerd worden.

Doordat met een pentest het niveau van beveiliging op een realistische wijze in de praktijk wordt getoetst is het naar mening van DNB een essentieel onderdeel in het totale pakket van beveiligingsmaatregelen.

Voor de inventarisatie is het proces van pentesten in 4 stappen opgedeeld: (1) Voorbereiding, (2) Offerte & selectie van leveranciers, (3) Uitvoering test en (4) Rapportage. Per processtap zijn de volgende ‘good practices’ in kaart gebracht:

Stap 1: Voorbereiding

Selecteer en prioriteer pentests op basis van de uitkomsten van het IT risico-analyse proces.
Formuleer voor de pentest een expliciete onderzoeksdoelstelling.

Stap 2: Offerte & selectie van leveranciers

Hanteer als leverancier een modulaire opbouw van een offerte met keuzemogelijkheden voor diepgang.
Rouleer leveranciers en/of interne testers periodiek. Dit voorkomt ‘blindheid’, ondermeer door een andere invalshoek en een andere methodiek.

Stap 3: Uitvoering test

Voer direct een hertest uit na het oplossen van de bevindingen.
Voer een ‘holistische’ pentest uit, waarbij een bredere scope wordt gehanteerd dan alleen de techniek.
Voer source code reviews uit op het naleven van secure coding principes.
Laat verschillende partijen hetzelfde object testen, hierdoor verkrijgt men een vollediger beeld van de kwetsbaarheden.
Maak een (D)Dos attack een onderdeel van de pentest.
Hanteer een standaard aanpak voor een pentest.

Stap 4: Rapportage

Bepaal de impact van de gevonden kwetsbaarheden op de keten, waar het geteste object deel van uitmaakt.
Vertaal de gevonden technische kwetsbaarheden naar business risico's.
Vermeld het bewijs van de bevindingen (test output) als bijlage in het rapport.
Vermeld concrete oplossingen voor de gevonden kwetsbaarheden.
Stem inhoud/stijl af op de beoogde doelgroep zodat draagvlak ontstaat voor het oplossen van de bevindingen.

Resultaat inventarisatie

Op basis van de uitgevoerde inventarisatie kan verder het volgende geconstateerd worden:

Uit de inventarisatie blijkt geen kwaliteitsverschil tussen de aanpak en uitvoering van de testen door de instelling zelf en de aanpak en uitvoering door externe leveranciers.
Een keurmerk ontbreekt voor leveranciers van pentesters. Professionele leveranciers besteden veel tijd aan het zelf intern opleiden van de medewerkers. Dit is echter niet aantoonbaar gebleken tijdens deze inventarisatie.
Secure coding blijkt een belangrijke preventieve maatregel om de onderliggende oorzaak van diverse beveiligingslekken weg te nemen.
Bij diverse instellingen is sprake van een achterstand bij het testen van omgevingen en objecten.
Het is van belang om de coördinatie van alle processtappen expliciet te beleggen binnen een centrale regiefunctie. In de praktijk kan dit bijvoorbeeld bij een Security Operating Center of bij Risk Management.

DNB adviseert de financiële sector om na te gaan in hoeverre zij zelf deze ‘good practices’ in de praktijk toepassen. DNB zal dit risicogebaseerd toetsen.