Magazines | Utrecht Business Nr 1 2019 | Lees volledige uitgave online

'To defend against an attacker, you must know how to think like one', valt te lezen op het visitekaartje van Dirk van Veen, die vier jaar geleden samen met collega's Sjoerd Versteeg en Barry van Kampen de afdeling 'The S-Unit' van hun voormalige werkgever verzelfstandigde. Het formuleert precies de gedachte achter ethisch hacken: zwakke plekken in de IT van een bedrijf opsporen en daarmee de klant handvatten

geven om beveiligingsmaatregelen te (laten) treffen. "Je voert dus aanvallen uit, binnen de ICT-sector beter bekend als penetratietesten, kortweg pentesten," legt Van Veen uit. "Wij doen dat binnen ons team van tien experts, die vrijwel altijd op afstand werken en zich in de dagelijkse praktijk continu ontwikkelen. In bijna elke case komt wel weer iets nieuws naar voren, dat de tester vervolgens deelt met zijn collega's." The S-Unit werkt met een multidisciplinair team dat veel mense-lijke inbreng in plaats van alleen scripting toevoegt, aanbevelingen op technische en diverse procesni-veaus doet, onzekerheid wegneemt, inzicht geeft in de beveiligingsstatus van de IT-omgeving en veel kennis heeft van mobiele applicaties.

Contractafspraken

Welke zaken kunnen aanleiding geven om een speci-alist als The S-Unit in te schakelen? "In het bedrijfsle-ven ontstaat steeds meer bewustzijn omtrent digitale

Maatpak in hacken

The S-Unit: pentesten met nadruk op menselijk inzicht

De invloed van dataverkeer blijft onophoudelijk toenemen en vraagt om een navenante ontwikkeling in digitale beveiliging. Dagelijkse kost voor The S-Unit, een bedrijf dat penetratietesten uitvoert om kwetsbaarheden naar boven te halen. Het ethisch hacken gebeurt geautomatiseerd, maar vooral ook handmatig, omdat het beschermen van de 'kroonjuwelen' van een onderneming altijd maatwerk vormt.

s-unit cyber security

Tekst & fotografie: Aart van der Haagen

beveiliging, mede door de invoering van de AVG. Soms leeft dat besef meer bij medewer-kers - vaak op een specifieke afdeling - dan bij het management. Aandringen op het investeren in betere security heeft niet altijd effect, maar het laten uitvoeren van een penetratietest die aantoont hoe makkelijk gevoelige gegevens op straat komen liggen maakt w?l indruk. Verder ontstaat er steeds meer wettelijke regelgeving en maken leveranciers en afnemers contract-afspraken met elkaar die beveiligingseisen bevatten, waaronder het periodiek laten uitvoe-ren van een pentest. Dat komt met name voor in bedrijfskolommen waar betaalsystemen of - zoals bij medische zaken - persoonsgegevens van toepassing zijn. Steeds vaker moeten par-tijen die zich bezighouden met ontwikkeling, bijvoorbeeld van webwinkels, zorgplatformen, klantportalen, infraoplossingen of kantoorom-gevingen, hun producten laten testen om de veiligheid ervan te kunnen aantonen. Meestal blijft niet bij een eenmalige exercitie; het betreft immers altijd een momentopname."

Aanvalsoppervlak

The S-Unit besteedt veel aandacht aan de voorbereiding op een penetratietest. Van Veen: "We peilen zorgvuldig de behoefte van de klant en spreken op basis daarvan de scope met hem af, die we het aanvalsoppervlak noemen. Het is voor de onderneming belangrijk om zoge-

zegd haar kroonjuwelen te beschermen, zoals financi?le en persoonsgegevens, toegang tot een beveiligd netwerk of scheiding van klanten, met name bij het aanbieden van diensten in de cloud. Het aanvalsoppervlak kan zich beperken tot een website en/of mobiele applicaties, maar soms krijgen we carte blanche om alles wat on-der de bedrijfsnaam valt in het trajectplan op te nemen. Daarbij richten wij ons niet zo zeer op social engineering, dus het testen van mensen, maar op de technische kant. Op die manier kunnen we heel gericht aantonen waar het fout gaat, tot welke consequenties dat leidt en welke acties je moet ondernemen om de kwetsbaar-heden op te lossen."

Out-of-the box denken

Na het in overleg bepalen van de scope treedt het testtraject in werking, op iteratieve wijze, dat wil zeggen het doorlopen van een cyclus. "Wat zien we aan zwakke plekken binnen het aanvalsoppervlak, kunnen we ze daadwerkelijk misbruiken - soms zit er toch een bepaalde mate van beveiliging achter - en zijn we ver-volgens in staat om dieper binnen te dringen? We gebruiken geautomatiseerde scantools, maar die herkennen over het algemeen alleen bekende en gepubliceerde kwetsbaarheden, zoals updates van Windows en webservers. De bevindingen doorgronden en correleren tussen applicaties en zwakke plekken, daar zijn deze

tools vaak weer niet zo sterk in, dus gaan we ook handmatig dingen interpreteren en manipuleren. Dat betekent out-of-the-box denken en er een cre-atieve blik op loslaten. Maatwerk, dus." Als voor-beeld noemt Van Veen een webformulier. "Daar vullen we alle mogelijke waardes in, ook heel rare, om te zien of de applicatie ze op een veilige manier verwerkt. Stel je voor dat het mogelijk blijkt om de database binnen te komen en daar commando's in te voeren. Een ander voorbeeld is de gevoeligheid voor onveilig uploaden: dat je niet een plaatje verzendt, maar een bestandje met een code om de volledige webserver over te nemen."

WannaCry-virus

Waar liggen zoal de kwetsbaarheden in het bedrijfsleven? "Er valt veel te winnen in grote kantoornetwerken," zegt Van Veen, zelf veelvul-dig actief als pentester. "Bij de meeste die wij onder de loep nemen lukt het ons om binnen ??n ? twee dagen volledig beheerder te worden. Standaard wachtwoorden, slecht geconfigu-reerde netwerkschijven, de logingegevens van beheerders in scripts opslaan, we komen het heel vaak tegen. Rondom webapplicaties gaat het veelal om programmeerfouten, die een hacker toegang geven tot de database of het besturingssysteem van de server. Deze zijn vaak te herleiden tot de toptien van kwetsbaarheden, zoals gepubliceerd door de wereldwijde orga-nisatie OWASP. Verder stuiten we regelmatig op verouderde versies van besturingssystemen, webservers en applicaties die erop draaien. Een tijdje geleden stelde een medewerker van ons binnen een bepaalde organisatie vast dat honderd werkstations kwetsbaar waren voor het WannaCry-virus: ??n druk op de knop en ze werden allemaal overgenomen."

Hackwedstrijden

Heeft The S-Unit het traject van penetratietes-ten binnen een bepaalde tijdspanne afgerond, dan volgt een rapportage met de kwetsbaar-heden, analyse van incidentele en structurele oorzaken, het gevolg voor de kroonjuwelen en advies over oplossingen. Van Veen: "Op verzoek bieden we ook nazorg, zoals het reviewen van maatregelen in de ontwerpfase en het periodiek opnieuw testen van bestaande of wisselende onderdelen. Verder organiseren we hackwed-strijden en workshops voor medewerkers van klanten, waaraan een toenemende behoefte be-staat. Op maatschappelijk vlak stellen we onze kennis beschikbaar aan een nieuwe generatie in het mede door ons ge?nitieerde project 'Hack in the Class', waarmee leerlingen van basisscho-len en het voortgezet onderwijs kennismaken met de goede kant van het fenomeen hacken. Een stukje bewustwording voor de toekomst, dus. Digitale beveiliging wordt immers alleen maar belangrijker."

Meer informatie: www.the-s-unit.nl

'In het bedrijfs-

leven ontstaat steeds meer bewustzijn omtrent digitale beveiliging, mede door de invoering van de AVG.'

cyber security s-unit