Een ethical hacker, het klinkt vaak wat abstract. Wat is nou precies een ethical hacker en wat voor werkzaamheden voert zo’n iemand nou precies uit? Graag beantwoorden we deze vragen in deze blog. De werkzaamheden zijn namelijk een stuk minder abstract dan je zou denken en zelfs een enorme meerwaarde voor de veiligheid van je bedrijf. Meer weten over ethical hacking? Lees dan snel verder.
Wat is een ethical hacker
Een ethical hacker is een persoon die zijn skills rondom hacking op een ethisch verantwoorde manier inzet. Dit wil zeggen dat hij of zij een hack door een hacker nabootst en dus probeert van buitenaf binnen te dringen in systemen waar buitenstaanders geen toegang tot hebben. Zo gaat hij of zij op zoek naar kwetsbaarheden in systemen van websites, webwinkels, computersystemen en netwerken.
Hoe doet een ethical hacker dit?
Een ethical hacker gaat te werk op verschillende manieren. Het begin van een traject is altijd een hulpvraag vanuit een organisatie die de beveiliging van de IT-omgeving wil laten testen. Een ethical hacker begint dus pas met de werkzaamheden wanneer hier een duidelijke vraag voor is uitgezet waaruit blijkt wat er precies getest zal moeten worden.
Vervolgens kan de ethical hacker (afhankelijk van de vraag) de volgende werkzaamheden uitvoeren:
- Het uitvoeren van een pentest
- Controleren van bestaande systemen op zwakheden
- Het reviewen van bestaande code
- Uitvoeren van een risicoanalyse van de bestaande situatie
- Het rapporteren van de gedane bevindingen
- Implementeren van de bevindingen
- Het begeleiden en/of trainen van developers om op een veilige manier code te ontwikkelen
In de praktijk zien we vaak dat wanneer onze ethical hacker aan de slag gaat met een vraagstuk er vaak een keuze gemaakt wordt voor een selectie van de bovenstaande werkzaamheden. Om deze reden brengen wij altijd eerst het probleemstuk in kaart, verdiepen we ons vervolgens in dit vraagstuk & stemmen we hier de uit te voeren werkzaamheden op af.
Eenmaal bepaalt welke methodes de ethical hacker in zal gaan zetten gaat hij of zij op zoek naar kwetsbaarheden in het huidige systeem. Een methode om deze in kaart te brengen is door middel van een Vulnerability Scan. Uit deze scan zullen kwetsbaarheden naar voren komen die zich o.a. in de toegangspunten van de online omgeving bevinden.
Wanneer de hacker in kaart heeft waar de kwetsbaarheden zich bevinden zal hij onderzoeken hoe ver hij het systeem in kan komen. In de praktijk zien we vaak dat een hacker weet binnen te komen in het doelsysteem via andere systemen die aan dit systeem gekoppeld zijn. Vaak is de beveiliging van deze omliggende systemen dan van een lager niveau waardoor dit een geschikte ingang is voor de hacker. Een inzicht in deze infrastructuur van koppelingen en waar de zwakheden zich bevinden kan dus van enorme waarde zijn wanneer je het beveiligingsniveau wilt gaan verhogen.
Ethical phishing
Een andere manier om toegang te krijgen tot systemen is door middel van phishing. Systemen worden steeds complexer maar ook zeker wel veiliger, hierdoor is er een nieuwe schakel om rekening mee te houden in de beveiliging: de menselijke factor. In de praktijk is namelijk steeds vaker niet het systeem maar de mens het doelwit van een cyber aanval. De hacker doet zich voor als een bekende en probeert op deze manier toegang te verkrijgen tot het systeem.
Door bewustwording van dit fenomeen te realiseren bij collega’s verklein je de kans dat de hacker d.m.v. een phishing poging binnen weet te dringen tot systemen.
Wat leveren deze werkzaamheden op?
De output van deze werkzaamheden zal ten alle tijden een uitgebreide rapportage zijn met de bevindingen die de ethical hacker gedaan heeft. Het grootste gewin is dus inzicht in waar de kwetsbaarheden zitten in de huidige situatie.
Vervolgens kan er afhankelijk van de situatie worden gekeken naar; hoe nu verder?
Is het bijvoorbeeld wenselijk dat we de IT-security direct ook samen gaan verbeteren, of is hier in-house al voldoende capaciteit voor?
Doordat wij ook op het gebied van architectuur & softwareontwikkeling expertise hebben kunnen we vaak een totaaloplossing leveren ongeacht wat er moet veranderen om de IT-security te verbeteren.
