Penetratietest, kwetsbaarheidsscan of ICT-maturiteitsscan?

Het domein van cybersecurity zit vol van technisch jargon, het is dus niet altijd even eenvoudig om wegwijs te raken.

Bij clipeum bieden wij onder andere de ICT-maturiteitsscan, de IT- of ICS/OT^[1]-kwetsbaarheidsscan (vulnerability scan) en penetratietesting aan.
Maar wat is nu wat en welke van deze diensten is het meest geschikt voor uw organisatie? We leggen de verschillen uit aan de hand van een eenvoudig voorbeeld.

Uw organisatie als een huis

Stel u even uw organisatie voor als een huis.
Uw huis beschikt, zoals ieder ander huis, over ramen en deuren.
Dit ingebeelde huis beschikt ook nog over een kleine jeneverstokerij in de garage.
Verder is dit huis voorzien van materialen en decoratievoorwerpen naar uw smaak.

Bij het verlaten van uw huis, sluit u zoals altijd alle ramen en deuren om inbraak te voorkomen.
U zet ook het alarm op om eventuele inbraken alsnog te detecteren.
De sleutel van uw huis en de pincode van het alarm bewaart u op een veilige locatie.
De stokerij doet rustig verder zijn werk dankzij het geautomatiseerde besturingssysteem.

Het sluiten van alle ramen en deuren en het activeren van het alarm, behoren tot uw dagdagelijks veiligheidsbeleid.
De aanwezigheid en volledigheid van dit beleid, alsook de correcte toepassing hiervan, kunnen wij aftoetsen door middel van een ICT-maturiteitsscan. We verifiëren dus bijvoorbeeld of er een "procedure" aanwezig is die zegt dat u uw alarm moet aanzetten.

Tijdens een kwetsbaarheidsscan gaan wij na of uw ramen en deuren inderdaad van een degelijk (meerpunts)slot zijn voorzien door de kenmerken van het slot te bekijken en eventueel eens aan de deurklink te voelen.
We kijken ook eens of er onder de deurmat geen sleutel te vinden is.
Indien we een van deze zaken detecteren, gaan we deze aan u rapporteren, maar we gaan uw huis niet binnendringen.

Bij een penetratietest gaan we nog een stap verder.
Mochten we ontdekken dat een deur slechts met een enkelpuntslot is beveiligd, dat er nog een raam open staat of dat er effectief een sleutel onder de deurmat te vinden is, gaan we wel degelijk trachten de woning te betreden.
Vervolgens proberen we het alarm te omzeilen om zo niet gedetecteerd te worden.
Ten slotte kijken we ook nog eens rond in de woning op zoek naar uw laptop, autosleutels of brandkast.

Uw geautomatiseerde stokerij heeft zo zijn eigen mogelijke kwetsbaarheden.
Door bv. met het besturingssysteem te sjoemelen, zou men erin kunnen slagen uw volledige productie om zeep te helpen of om de stokerij te beschadigen.
Testen of dergelijke situaties mogelijk zijn, doen we via een ICS-beveiliging audit.

Op het einde van elk van deze projecten krijgt u inzicht in de status van de beveiliging van uw huis.
De invalshoek en de inhoud van het rapport zullen echter verschillen.
Samen met u kunnen wij nagaan welk type project uw noden het beste dekt.

Zo kunnen we er samen voor zorgen dat uw huis of dus uw organisatie volledig beveiligd is.

[1] ICS = Industriële Constrolesystemen / Industrial Control Systems.
Ook gekend onder de afkorting OT (Operationele Technologie / Operational Technology).
Kort uitgelegd beschrijft de term IT de traditionele computeromgeving met servers en werkstations, terwijl ICS/OT gaat over geautomatiseerde productieomgevingen (sensoren en actuatoren).

Door: Stijn Crevits - 20 mei 2020