Intrusion Tests richten zich op de technische aspecten van beveiligingsmaatregelen. Tijdens de analyse van de testresultaten worden voor de aangetroffen kwetsbaarheden de verbonden risico’s en de mogelijke oorzaken vastgesteld, beide vanuit het business perspectief van de klant. De aanbevelingen in de uiteindelijke rapportage raken niet alleen de technische beveiligingsaspecten, maar juist ook het beheer en de ontwikkeling van andere operationele processen in de organisatie.

Het primaire doel van Intrusion Tests is het in kaart brengen van kwetsbaarheden die zich in elektronische diensten bevinden. Deze kunnen direct of indirect leiden tot:

  • ongeautoriseerde toegang van systemen en gegevens
  • ongeautoriseerd gebruik van systemen en gegevens
  • nadelige beïnvloeding van de beschikbaarheid van deze diensten

Het secundaire doel is het vaststellen van de oorzaken die hebben geleid tot de kwetsbaarheden. Veelal zijn deze te herleiden tot:

  • oorzaken in de toegepaste techniek, zoals fouten die gemaakt zijn gedurende de ontwikkeling en implementatie, maar ook fouten die inherent zijn aan de toegepaste technologieën binnen de infrastructuur
  • oorzaken in het beheer, door bijvoorbeeld onvolledige beheerprocedures of fouten en/of tekortkomingen in de uitvoering van de procedures
  • oorzaken in het gebruik, door het niet naleven van richtlijnen omtrent het gebruik van beveiligingsmaatregelen.

Instruction Tests

Voor het uitvoeren van een Intrusion Test wordt de OSSTMM standaard gevolgd en een stappenplan gehanteerd. Deze standaard waarborgt een minimale negatieve impact op de geteste systemen, een objectieve uitvoering van de test en weging van de resultaten en een rapportage waarin duidelijke en constructieve aanbevelingen zijn opgenomen.

Ook is het van belang te melden dat een Intrusion Test een iteratief proces is, dat onder meer omvat:

  • Passieve tests, waaronder:
    • Informatie verzamelen over bereikbare systemen (via computernetwerken, telefoonnetwerken of draadloze netwerken), gebruikte netwerktopologieën, actieve (netwerk-) diensten per aangetroffen systeem;
    • Informatie over de klant en de technieken en middelen die door de klant worden toegepast, onder andere door gerichte Google bevragingen.
  • Actieve tests, waarbij mogelijke kwetsbaarheden in de informatie- en besturingssystemen, netwerkdiensten, procedures, ontwerp- of configuratiefouten worden geëxploiteerd.

Tijdens alle tests vindt voortdurend analyse van de resultaten plaats om vast te stellen wat het cumulatieve effect van de aangetroffen kwetsbaarheden in termen van risico’s en mogelijke oorzaken is. Aanvullend worden tijdens de tests aanbevelingen geformuleerd teneinde de risico’s weg te nemen of te reduceren tot een aanvaardbaar niveau.

De hierna beschreven onderdelen zijn met name gericht op het testen van een web applicatie, voor andere applicaties kunnen verschillende aspecten anders worden ingevuld. Voor het uitvoeren van testen op web applicaties gebruikt MKB SECURITY B.V. de OWASP als leidraad, zodat er voldoende waarborgen zijn voor de volledigheid van de test. Een belangrijk onderdeel van de OWASP leidraad is de OWASP top 10 waarin de belangrijkste kwetsbaarheden in een web applicatie zijn opgenomen.

Rapportage en nabespreking

Gebaseerd op de resultaten van de uitgevoerde stappen wordt een eindrapportage opgesteld van de bevindingen. Het doel van de rapportage is het communiceren van de bevindingen door middel van een schriftelijk rapport en het geven van een mondelinge toelichting.

De rapportage bevat de volgende elementen:

  • Doelstellingen, reikwijdte en diepgang;
  • Managementsamenvatting en belangrijkste conclusies en aanbevelingen;
  • Gedetailleerde bevindingen en aanbevelingen van de tests;
  • Analyse van de mogelijke oorzaken van de al dan niet aangetroffen kwetsbaarheden.

Het is bevorderlijk voor het begrip van de aangetroffen kwetsbaarheden en aanbevelingen dat met de ontwerpers en beheerders een nabespreking plaatsvindt. Gedurende deze bespreking kunnen de aanbevelingen nader worden toegelicht of kan worden onderzocht in hoeverre de doelsystemen en de beheerders de uitgevoerde stappen hebben gedetecteerd. Dit kan leiden tot nadere aanbevelingen ter verbetering van de maatregelen voor logging, het genereren van alarmmeldingen en incident afhandeling.