Waarom pentesting zeker in AI-tijden meer dan ooit belangrijk is

Wat is de rol van penetration testing, kortweg pentesting temidden de toenemende AI-dreigingen? ‘Een onmisbaar onderdeel voor elke CISO’, meent Ed Skoudis van SANS Institute.

Gap assessments, auditing, architecture reviews, vulnerability management… Allemaal zijn het standaardprocedures die onmiskenbaar hun waarde hebben. Dat gezegd zijnde blijft impactvolle pentesting, kort voor penetration testing, onvervangbaar als een van de meest doeltreffende manieren voor organisaties om aan risico-inschatting te doen. Wanneer juist gedaan, vormt deze methode een uitstekend instrument om cyberbeveiliging te aligneren met het onophoudelijk evoluerende dreigingslandschap, en natuurlijk de beschikbare budgetten.

Strikt genomen valt pentesting onder de noemer ‘ethisch hacken’, waarbij specialisten als waren ze echte cyberaanvallers op zoek gaan naar zwakke plekken in de beveiligingsgordel van een organisatie, om die te proberen doorbreken. Die oefening maakt duidelijk in welke mate het cyberrisico meteen ook een gevaar vormt voor de business op zich – geen overbodige luxe, gezien de sterke toename van AI-gedreven aanvallen op bedrijfsnetwerken die we momenteel zien.

Van ChatGPT bijvoorbeeld is ondertussen duidelijk dat het een echte gamechanger is voor cybercriminaliteit, die geavanceerde TTP’s (tactieken, technieken en procedures) democratiseren en doordeweekse cyberaanvallers voor weinig geld een dodelijke slagkracht bezorgen. Het volume en de snelheid van aanvallen zal zo alleen maar toenemen, wat het belang van doeltreffende pentesting-programma’s om de businessimpact van breaches te beperken verder onderstreept. Het overgrote merendeel van organisaties hebben immers nog steeds geen adequate Network Detection and Response (NDR)-capaciteit om een aanval in realtime te stoppen, en/of zijn niet in staat cloud- en app-specifieke breaches te voorkomen en detecteren. 

Enter pentesting, dat een ongeëvenaard contextueel bewustzijn kan bieden voor het verfijnen van de verdedigingsgordel, remediërings- en herstelprocessen binnen een overkoepelende architectuur voor risicobeheer. Hieronder enkele basisprincipes voor organisaties die pentesting op grote schaal implementeren, om de impact ervan te maximaliseren. 

Doelgerichte mentaliteit

Pentesting draait in se niet om het identificeren van de zwakke plekken van een organisatie, maar van de zakelijke risico’s die deze inhouden, doordat ze het mogelijk maken om bijvoorbeeld kritieke data te stelen of bepaalde zaken in de war te sturen. De deuren die deze zwakke plekken openen voor aanvallers: daar gaat het uiteindelijk om. 

Om de oefening zo waardevol mogelijk te maken, moeten er daarom vooraf gedefinieerde doelen gesteld worden die gestructureerd zijn rond die onderdelen van de business die het meest vatbaar en kwetsbaar zijn voor disruptie. Ethische hackers kunnen zich dan, in een worst case scenario, op deze aspecten richten om aan te tonen hoe verschillende low-risk kwetsbaarheden samen tot een overkoepelend hoogrisicoscenario kunnen leiden dat het bedrijf in gevaar brengt.

Enkele voorbeelden: 

• een ransomware-aanval die een live sportuitzending onderbreekt en zo voor grote verloren reclame-inkomsten zorgt;
• een vijandige staat die de werking van een waterzuiveringscentrale saboteert en zo de drinkwatervoorziening en dus de volksgezondheid in het gedrang brengt;
• een aanval op een overheidsdienst, waarbij cruciale veiligheidsinfo aan buitenlandse mogendheden verkocht wordt. 

Pentesting moet daarom steeds vertrekken vanuit de vraag wat het uiteindelijke doel van de aanvaller is, en hoe dat de business in gevaar kan brengen: enkel dan is het mogelijk de juiste kwetsbaarheden te ontdekken en context te creëren om aan risicobeperking te doen. 

De puntjes samenbrengen

Naarmate de grenzen tussen cyber- en bedrijfsrisico’s in de loop der jaren meer en meer vervaagd zijn, is pentesting een essentieel onderdeel geworden van proactieve risicoprioritering. Het stelt organisaties in staat om gedetailleerd inzicht te krijgen in hun risicosituatie, met waarschijnlijkheidsscores en financiële prognoses gekoppeld aan verschillende gebieden van hun beveiligingsomgeving. Gewapend met deze high-level inzichten beschikken CISO’s over de nodige kennis om geïnformeerde beslissingen te nemen door het bedrijfsrisico van een potentiële aanval af te wegen tegen de waarschijnlijkheid dat deze daadwerkelijk plaatsvindt, om dan in functie daarvan de nodige beveiligingsmiddelen toe te kennen om de ROI te verhogen en de bescherming te versterken.

De klaarheid die penetratietests bieden, helpt bovendien ook om de complexiteit van het cyberdreigingslandschap te demystificeren, door cyberrisico’s te vertalen naar zakelijke termen die beter aanslaan bij het C-level en de Raad van Bestuur. Echte illustratieve verhalen van recente penetratietests maken het veel gemakkelijker voor cyber resilience teams om risico’s te verwoorden op een manier die de bedrijfsleiding vlot kan begrijpen en overtuigen, om ervoor te zorgen dat beveiliging een topprioriteit blijft binnen de organisatie.

Dat gezegd zijnde is het belangrijk te onthouden dat er, ongeacht de effectiviteit van pentestprogramma’s, altijd grijze zones en hachelijke afwegingen met betrekking tot risicoprioritering zullen blijven bestaan. Wel helpen ze CISO’s om tot een zo weloverwogen mogelijke beslissing te komen, daar waar ze anders grotendeels in het duister tasten omtrent de echte bedrijfsrisico’s.

Ijzer scherpt ijzer 

Net als cyberbeveiliging is pentesting een teamsport. Het kan ook een voorloper zijn van red team-oefeningen, of, voor meer volwassen organisaties die al regelmatig pentests uitvoeren, purple teaming, waarbij een ‘rood’ aanvalsteam samenwerkt met een ‘blauw’ defensief team bestaande uit threat hunters en SOC-analisten (Security Operations Center), al gaat het eigenlijk meer om het concept. Meer dan een heel concrete strategie is purple teaming een werkwoord dat beschrijft hoe rode en blauwe partijen kunnen samenwerken om hun kennis uit te breiden, strategie aan te scherpen en operationele efficiëntie te verbeteren. 

Het gezamenlijk delen van informatie biedt ethische hackers bijvoorbeeld meer inzicht in hoe een bepaalde TTP is geïdentificeerd. Op die manier kan het rode team hun aanpak voor de volgende poging aanpassen om ervoor te zorgen dat deze dodelijker is, wat op zijn beurt het blauwe team sterker maakt. Zie het als ijzer dat ijzer slijpt, of in voetbaltermen, Messi en Ronaldo die elkaar naar een hoger niveau tillen – uiteindelijk heeft iedereen er baat bij.

Het tempo waarin AI wordt toegepast aan beide zijden van de cybersecuritywereld zal niet snel vertragen. AI-aanvallers zijn niet meer weg te denken, en wat we twee weken geleden dachten te weten over AI-aanvallen zou vandaag al niet meer relevant kunnen zijn. Deze realiteit maakt schaalbare penetratietesten tot een steeds crucialer kernonderdeel van het arsenaal van de moderne CISO. Naast purple teaming, risicoprioritering en goed gedefinieerde doelen, bieden effectieve pentesting en red teaming de beste sleutels om je te wapenen tegen vijandige actoren.