Nieuws

5 Cyber Security Assessment types die je moet kennen

IT Security Assessment types uitgelegd

In het bedrijfsleven zijn we compleet afhankelijk van digitalisering in onze bedrijfsvoering. Dat maakt ons  efficiënter, maar tegelijkertijd ligt daarin ook onze zwakte. Door malware, spyware, onoplettende medewerkers en slimme hackers wordt onze bedrijfscontinuïteit voortdurend bedreigd.

Ook het aantal DDoS aanvallen neemt verder toe in 2019. Deze aanvallen zijn steeds eenvoudiger. Voor een paar euro zijn ze online te koop. Die paar euro staan echter niet in verhouding tot de schade die zo’n aanval kan veroorzaken voor een bedrijf. Denk aan negatieve media-aandacht, reputatieschade maar ook andere bijkomende financiële schade, zoals niet-productieve uren voor medewerkers.

IT Security Assessments

De Cyber Security Assessments, of 'IT Security Assessments', brengen de risico’s van verschillende soorten cyberdreigingen in kaart. Daarmee zijn ze een onmisbaar instrument om de bedrijfszekerheid te garanderen. Er bestaan echter nogal wat assessments en regelmatig duikt er een nieuwe op.

Hoe weet je welke IT Security Assessment het beste past bij jouw bedrijfssituatie en waar deze je tegen helpen beschermen?

In dit artikel zetten wij de verschillende types op een rij en lichten wij toe wanneer je welke Assessment in kan inzetten.

1. Vulnerability Assessment

Deze technische test brengt zoveel mogelijk kwetsbaarheden van de omgeving in kaart. In het assessment kijken de testers naar de ernst van een mogelijke aanval op elk onderdeel van het systeem en de herstelmogelijkheden. De uitkomst is een prioriteitenlijst van issues.

Wanneer een vulnerability assessment uitvoeren?

Deze test is met name relevant wanneer er nog niet veel is gedaan aan beveiliging. Het doel is om aan de hand van de prioriteitenlijst zoveel mogelijk gebreken te repareren als het budget en de tijd toestaan. Het kan ook zijn dat de budgettering wordt bepaald na de Vulnerability Assessment, zodat altijd voorkomen wordt dat er te weinig budget is wanneer er een kwetsbaarheid gevonden wordt.

2. Penetration Testing

Met de Penetration Test inspecteer je een specifiek potentieel doelwit, bijvoorbeeld domeinrechten die gehackt kunnen worden, of klant- of betalingsgegevens die gestolen kunnen worden, of opgeslagen informatie die door cybercriminelen gewijzigd kan worden. De uitkomst van de Penetration Test wijst uit of de huidige beschermingsopzet succesvol en voldoende is of niet.

Wanneer de Penetration Test uitvoeren?
Deze test gebruik je vooral om te bevestigen dat de configuratie van software, versiebeheer en eigen geschreven code veilig is. Hiervoor zijn dan vooraf al meerdere testen uitgevoerd. Dit is een test op hoger niveau en voor de beste resultaten laat je deze uitvoeren door ervaren testers.

White-/Grey-/Black-box Assessments

De White, Grey en Black-box “assessments” zijn onderdeel van penetration testing. Met de kleuren wordt aangegeven hoeveel informatie een tester tot zijn of haar beschikking heeft. White staat voor een test waarbij de tester volledig inzicht in de code, netwerk diagrammen en andere relevante informatie heeft. Bij Grey is er een stuk minder inzicht en informatie beschikbaar en bij Black heeft de tester vooraf geen enkele kennis over het aan te vallen systeem.

In het geval van een black-box assessment is de tester als het ware een externe hacker die op allerlei manieren zwakheden probeert te vinden.

Wanneer zijn White, Grey of Black assessments relevant?

Als je als bedrijf totaal geen informatie wilt vrijgeven dan is een Black-box assessment in feite een Penetration Test, omdat de tester daarbij ook geen informatie ontvangt. Voor alle andere testen is het nuttiger als een tester meer informatie heeft. Dan kan hij sneller en gemakkelijker de zwakke plekken blootleggen.

3. Red Team Assessment

Een Red Team assessment is een groep mensen die de veiligheid van de bedrijfsinformatie toetst. Het Blauwe Team is het team dat verantwoordelijk is voor de beveiliging van deze informatie. Het Rode Team is een onafhankelijke, externe groep die het Blauwe Team uitdaagt. Hun doel is de effectiviteit van het Blauwe Team te verbeteren.

Belangrijk is dat het Rode Team onafhankelijk is. Het Blauwe Team moet regelmatig testen en onverwacht met steeds wisselende methodes testen en de effectiviteit monitoren.

Wanneer is een Red Team Assessment relevant?
Een Red Team Assessment is alleen nuttig voor bedrijven die vergevorderd zijn in het beveiligen van hun netwerk. Bovendien heeft deze assessment alleen zin als er een Blauw Team is dat normaal gesproken ook als security team fungeert.

4. IT Audit

Een IT Audit brengt in kaart of de huidige configuratie overeenkomt met de gewenste compliance standaard. Dat kan zowel gebaseerd zijn op technische aspecten als op documentatie. Het test dus niet werkelijk hoe veilig een netwerk is. Het geeft alleen weer hoe men beveiliging definieert binnen een bedrijf. De uitkomst is een document waarin staat of men voldoet aan de gestelde compliance regels.

Wanneer een IT Audit uitvoeren?
Audits zijn vooral instrumenten om compliance aan te tonen. Vaak zijn bedrijven die voldoen aan compliance regels wel strikter op veiligheid, maar een audit is nog geen bewijs voor een veilig netwerk.  

5. IT Risk Assessment

Met een IT Risk Assessment bepaalt men wat het acceptabele en het werkelijke risiconiveau is. Dit type assessment analyseert 2 dimensies van risico: de waarschijnlijkheid en de impact. Deze kun je zowel kwantitatief als kwalitatief meten.

Na de analyse bepaalt men welke acties in gang gezet moeten worden om het acceptabele en werkelijke risiconiveau zo dicht mogelijk bij elkaar te brengen. De uitkomst is een lijst met geprioriteerde risico’s en aanbevelingen.

Wanneer is de IT Risk Assessment relevant?
In feite is Risk Assessment een overkoepelende term voor het in kaart brengen van mogelijke risico’s voor de activa van een bedrijf en hoe men deze wil beschermen. Deze is in alle gevallen nuttig.

Verminder Risico met de Cyber Security Assessment

Met de cyber security assessments bepaal je nauwkeurig potentiële blootstelling aan cyberdreigingen. Welke het beste past bij jouw bedrijf, hangt af van het niveau van beveiliging en eerder uitgevoerde testen. Infradata adviseert je graag en kan de benodigde assessments voor je inrichten. Samen brengen we het beveiligingsbeleid van jouw bedrijf naar een hoger niveau.

Hoe we dat doen, lees je op onze pagina over Cyber Security Assessments. Wil je gelijk een afspraak maken? Neem dan direct contact met ons op.

9 mei 2019

Pagina delen: