Waarom een automatische pentest geen pentest is; een MSP-perspectief
Als Managed Service Provider (MSP) draag je een enorme verantwoordelijkheid voor de digitale veiligheid van je klanten. In de zoektocht naar efficiëntie en snelheid wordt vaak gegrepen naar geautomatiseerde security tools. Een veelgehoorde uitspraak van een van onze MSP-klanten slaat echter de spijker op zijn kop: “Een automatische pentest is GEEN pentest.”
Daarmee doelen zij op het feit dat een pentest die uitsluitend is gebaseerd op automatisering, fundamentele beperkingen heeft. Hieronder leggen wij uit waarom een automatische pentest alleen niet voldoende is en waarom de hedendaagse hacker altijd een stap voor blijft op geautomatiseerde pentesten en vulnerability scans.
De illusie van veiligheid
Geautomatiseerde pentestsen en vulnerability scanners hebben absoluut hun waarde. Ze zijn uitstekend geschikt voor het controleren van de basis hygiëne van een IT-omgeving. Ze scannen razendsnel op bekende kwetsbaarheden, ongepatchte software en veelvoorkomende misconfiguraties en legacy issues.
Echter, de sleutelwoorden hier zijn ‘bekende kwetsbaarheden’. Geautomatiseerde tools zoeken uitsluitend naar kwetsbaarheden die al in hun database staan, kwetsbaarheden die door de meeste securitybedrijven vaak al zijn dichtgelegd en beschermd. Ze missen de context en creativiteit om verder te kijken dan de oppervlakte. Een geautomatiseerde tool kan aantonen dat een systeem kwetsbaar is, maar zal niet proberen om via die kwetsbaarheid dieper in het netwerk door te dringen (pivoting) of complexe logische fouten in bedrijfsapplicaties te misbruiken. En als ze dit al doen, doen ze het met bekende aanvalsvectoren die OG-hackers allang niet meer gebruiken. Er wordt geen gebruik gemaakt van de allerlaatste, dagelijks veranderende technieken die hackers gebruiken om een systeem binnen te dringen, zoals nu bijvoorbeeld de ‘Living of the Logic’ methode die weer een stap verder gaat dan ‘Living of the Land’ en waar ook menselijke handelingen en zwakheden worden gebruikt om binnen te komen bij een partij.
De hedendaagse hacker: jaren vooruit
De realiteit is dat kwaadwillende hackers (cybercriminelen) niet in de war raken van systemen die zijn voorzien van standaard geautomatiseerde tools. Ze opereren vaak jaren vooruit op de methodieken die door defensieve security tools worden gebruikt. Ze combineren verschillende methodes in combinatie met creativiteit en slimmigheden om nieuwe wegen naar binnen te vinden. Vaak zijn dit methodes van de beveiligingsbedrijven zelf waarin functionaliteit wordt omgezet in aanvalstechniek.
Voor deze geavanceerde aanvallers zijn MSP’s de ultieme jackpot. Waarom zou een cybercimineel één enkele organisatie aanvallen als hij of zij via een MSP honderden bedrijven tegelijk kan raken? Een succesvolle aanval op een MSP fungeert als een digitale loper die toegang geeft tot een heel ecosysteem van eindgebruikers.
De “Hackers Love MSPs” realiteit
Het initiatief Hackers Love MSPs benadrukt deze dubbele realiteit treffend. Aan de ene kant staan hackers die van nature ethisch zijn, klaar om MSP’s te helpen hun verdediging te versterken. Aan de andere kant ‘houden’ kwaadwillende cybercriminelen van MSP’s vanwege de zogenaamde vertrouwensval en de schaalbaarheid.
MSP’s verkopen schaalvoordelen, maar diezelfde schaal maakt hen kwetsbaar. Eén zwakke plek betekent onmiddellijke toegang tot de data van talloze klanten. Zoals securityspecialist Q-Cyber het verwoordt: “Het is alsof alle huizen in een wijk dezelfde sleutel hebben – super efficiënt, totdat iemand anders die sleutel in handen krijgt”
De noodzaak van menselijke expertise
Om de geavanceerde methodieken van hedendaagse hackers te het hoofd te bieden, is de menselijke intelligentie en ervaring vereist. Een échte, handmatige pentest of een Red Teaming traject gaat verder waar de geautomatiseerde pentest of scan stopt.
Ethische hackers zijn echte aanvallers. Ze stellen de vraag: hoe kom ik hier binnen? Dit levert inzichten op die je met standaard tools nooit vindt.
Een praktijkvoorbeeld van een MSP illustreert dit perfect: een geautomatiseerde scan markeerde de conditional access policies in overeenstemming met de richtlijnen. Een handmatige analyse door een ethisch hacker bracht echter uitzonderingen voor ongebruikte legacy applicaties en zwak beveiligde administratieve accounts aan het licht—precies de zwakke plekken die een echte aanvaller zou misbruiken.
Daarnaast omvat een handmatige aanpak ook elementen die software niet kan testen, zoals social engineering (het misleiden van medewerkers) en fysieke penetratietesten op locatie.
Conclusie
Een geautomatiseerde test is een uitstekend moment om te verifiëren of de basis hygiëne op orde is, maar het is geen vervanging voor een echte pentest. Het is niet bestand tegen de creatieve, doelgerichte en geavanceerde technieken van de hedendaagse cybercrimineel.
Voor MSP’s, die van full-serviceprovider zijn getransformeerd tot een primair doelwit, is het cruciaal om de rollen om te draaien. Dit vereist een samenwerking met gespecialiseerde security experts die de mindset van de hacker begrijpen en toepassen. Alleen door de inzet van diepgaand, menselijk cyberonderzoek kunnen MSP’s de digitale veiligheid van zichzelf én hun klanten daadwerkelijk garanderen.
Ben je na het lezen van dit artikel toe aan een gesprek met een OG Hacker. Stuur ons dan een DM of bezoek www.Q-Cyber.nl om een afspraak met ons te maken.