Ethische hackers testen cloud applicaties Priva

Ethische hackers testen cloud applicaties Priva

Om de beveiliging van hun producten en diensten te optimaliseren, laat Priva ze jaarlijks testen door onafhankelijke, ethische hackers. Ze werken hierin samen met Onvio, specialist in het uitvoeren van pentesten. Tijdens deze testen wordt actief gezocht naar zwakke plekken. De bevindingen worden vervolgens opgelost, zodat het beveiligingsniveau continu wordt verhoogd. Jasper Weijts, Security Specialist bij Onvio, vertelt over zijn ervaringen in dit werk.

Wat is ethisch hacken?
"Bij de meeste mensen roept het woord hacken negatieve associaties op, zoals een inbreker in je apparaat of systeem. Bij ethisch hacken gaat een specialist op zoek naar kwetsbaarheden in bijvoorbeeld een applicatie of systeem, zonder deze openbaar te maken. Dit noemen we een pentest. Hij informeert en adviseert het bedrijf, zodat zij de zaken op orde kunnen krijgen. Je kunt het zien als een inbreker vragen om te kijken of je huis veilig is en waar de zwakke plekken zitten zodat je je beveiliging kunt verbeteren. Uiteindelijk helpen we bedrijven om de beveiliging van systemen en applicaties naar een hoger niveau te tillen."

Je bent Ethical Hacker bij Onvio, hoe ziet jouw werk eruit?
"Bij bijvoorbeeld een applicatie starten we met het in kaart brengen van functionaliteiten. Dit kan samengaan met een demosessie die we met het bedrijf uitvoeren. Daarna kijken we naar het verkeer dat plaatsvindt tussen de browser van de gebruiker - in het geval van Priva is dit een teler - en de server van het bedrijf (Priva). Dat verkeer onderscheppen we en daarbij kijken we of we dit kunnen beďnvloeden. Dat is het meest intensieve gedeelte van de pentest."

Wat gebeurt er na het afronden van de pentest?
"Alle bevindingen uit de test worden vastgelegd in een rapportage. Dit wordt uitgewerkt tot een pentestrapportage met een technisch gedeelte, een risicoanalyse en een managementsamenvatting. Technische medewerkers weten zo precies wat er aangepast moet worden en het management krijgt een duidelijk beeld van de situatie. De klant neemt de rapportage vervolgens door met het eigen (development) team. Daarna komen we bij elkaar tijdens het opleveringsmoment om het technische gedeelte van het rapport door te nemen. We geven waar nodig uitleg over technische elementen en we doen de officiële aanbeveling, maar uiteindelijk is het aan de klant om het uit te voeren. Uiteindelijk kunnen we nog een nieuwe test doen en op basis van de eerste rapportage en de doorgevoerde verbeteringen een nieuw advies geven."

Voor Priva zijn recent verschillende cloud applicaties aan een pentest onderworpen. Voor die applicaties is een TPM (third party memorandum) afgegeven. Deze verklaringen geven aan dat de applicaties adequaat beveiligd zijn. Deze tests worden regelmatig herhaald. Binnenkort verwacht Priva meer TPM-verklaringen voor andere producten en clouddiensten.

De digitale wereld ontwikkelt razendsnel. Hoe zorg je ervoor dat je bij blijft op het gebied van hacken?
"Tegenwoordig zijn er deelopleidingen en zelfs een aantal masters die gericht zijn op security en hacken. Daarnaast is er een groot aantal certificeringen, waarbij je praktijkgericht opgeleid wordt in een soort laboratoriumopstellingen. Zowel voor ons als voor onze klanten is het belangrijk dat we nieuwe typen kwetsbaarheden blijven vinden. Daarom gaan we ieder jaar naar zo'n lab om onszelf te toetsen, nieuwe dingen te leren en uiteindelijk de certificering te halen."

Iedere dag worden er wel weer nieuwe kwetsbaarheden in software of applicaties gevonden, dat is oneindig. Om up-to-date te blijven gaat het vooral om grote ontwikkelingen of vernieuwingen. Denk aan nieuwe technieken, zoals een nieuw type inlogmechanisme. Daarbij horen ook weer nieuwe kwetsbaarheden."

Wat voor tips kun je geven aan telers?
"Telers beschikken meestal over een bedrijf waarin veel geautomatiseerd is. Daar gaat veel in data om. Het kan voor een teler spannend zijn om de systemen te verbinden aan cloudoplossingen, zoals een applicatie. Want wat als iemand ongewenst met die teeltgegevens aan de haal gaat? Die angst leeft wellicht, maar ik denk dat de teeltgegevens juist veiliger zijn als er gebruik wordt gemaakt van de cloud en digitale diensten. Telers zijn ontzettend goed in het telen van hun gewas, maar ze zijn vaak niet thuis in de beveiligingsmarkt. Heb je als teler bijvoorbeeld inzicht in een risicoanalyse, weet je welke data er wordt gegenereerd, waar het wordt opgeslagen en wie er toegang heeft tot de data? Een tip zou zijn om daarin te investeren.

Sommige telers zijn huiverig om hun data in de cloud op te slaan, omdat ze niet weten waar de data dan blijft. Priva neemt deze zorg weg. Er zijn namelijk goede afspraken tussen Microsoft en Priva als het gaat om de opgeslagen data en hoe deze beveiligd wordt. Dit is in de meeste gevallen veiliger dan lokale opslag. Hoe zit het bijvoorbeeld met een lokale server met beveiliging en back-ups? Dit zijn zaken die automatisch gebeuren in de cloud, aangezien er in dat geval standaard veiligheidssystemen ingeschakeld zijn. Dit is heel geavanceerd en gaat vaak verder dan de veiligheidsmaatregelen die je zelf kunt nemen."

Bron: Goedemorgen

Deel artikel