Interview met Savaco's ethical hackers: "Weten wat de risico's zijn, is cruciaal"

Interview met Savaco's ethical hackers: "Weten wat de risico's zijn, is cruciaal"

Geschreven door Katrien Devulder op

Denkt u bij het woord "hacker" ook aan een crimineel die in een donkere kelder voor zijn laptop gebogen zit om van daaruit zo veel mogelijk schade aan te richten bij onschuldige mensen en bedrijven?

Het beeld dat gewoonlijk over hackers wordt opgehangen is inderdaad niet bepaald flatterend. Hackers zijn immers de slechteriken die we met alle macht willen verslaan. Maar we scheren maar beter niet alle hackers over dezelfde kam. Er zijn immers ook hackers die hun skills inzetten voor de goede zaak.

Ethical hacking wordt meer en meer een echte stiel. White hat hackers - zoals ethical hackers ook genoemd worden - proberen de kwetsbaarheden in IT-systemen te ontdekken vóór black hat hackers met minder goede bedoelingen die kwetsbaarheden kunnen misbruiken. Ook in Savaco lopen certified ethical hackers rond. Tijd om er twee beter te leren kennnen: een interview met ethical hackers Jorn en Roy.

Wat is een ethical hacker nu eigenlijk?
Roy: Een ethical hacker doet eigenlijk net hetzelfde als een 'gewone' hacker. Hij/zij gaat op zoek naar kwetsbaarheden in zowel webapplicaties als netwerkinfrastructuur. Het verschil zit hem in het feit dat een ethical hacker die kwetsbaarheden doorspeelt aan de beheerder van de applicatie of de infrastructuur met als doel de fouten te verbeteren. Een ethical hacker gebruikt kwetsbaarheden dus niet voor eigen gewin.

Jorn: De tools en de kennis die een ethical hacker gebruikt, zijn eigenlijk net dezelfde als bij andere vormen van hacking, maar de insteek van de ethical hacker is helemaal anders: wij spreken vooraf af welke zaken mogen gehackt worden, met als doel het IT-systeem te verbeteren. Dit alles wordt zo veel mogelijk gedaan vanuit een technologie-onafhankelijke positie.

Concreet, wat is jullie opdracht wanneer je als ethical hacker aan de slag gaat bij een Savaco-klant?
Jorn: Als ethical hackers bij Savaco bieden wij twee types diensten aan voor bedrijven. Enerzijds doen we Infrastructure Vulnerability Assessments. Hierbij maken we een scan van de omgeving van de klant om zo de kwetsbaarheden binnen zijn infrastructuur bloot te leggen. Anderzijds voeren we ook penetration tests of pentests uit.

Roy: Bij zo'n pentest gaan we de gevonden kwetsbaarheden niet alleen opzoeken, maar ook effectief gaan uitbuiten. Op die manier kunnen we visueel aantonen welke gevolgen zo’n kwetsbaarheid concreet kan hebben voor het bedrijf.

Jullie zijn certified ethical hackers. Wat betekent dit, wat heb je moeten doen om gecertifieerd te zijn?
Jorn: Door als hacker een certificaat ethical hacker te behalen, kunnen we aantonen dat we op de hoogte zijn van de nieuwste technieken. Om certified ethical hacker te worden hebben we een cursus gevolgd bij een officiële instantie en daar nadien ook een examen van afgelegd. Tijdens de opleiding zagen we de nodige theorie, maar kregen we ook een demo-omgeving waarin we de tools die werden aangereikt, konden uittesten en oefeningen konden maken. Wie slaagt voor het examen mag zich dus een certified ethical hacker noemen.

Waarom heeft een organisatie er baat bij om een ethical hacker aan het werk te zetten?
Jorn: In elke IT-infrastructuur wordt er na verloop van tijd al eens wat getweakt (of net helemaal niet), waardoor er mogelijks kwetsbaarheden ontstaan die men al snel uit het oog verliest. Als IT-dienst of IT-verantwoordelijke is het dan ook noodzakelijk dat je je van die kwetsbaarheden bewust bent.

Roy: Weten wat de risico's zijn, is de basis van elke beveiligingsstrategie. Door het systeem van een organisatie te hacken, brengen wij in kaart wat er zou moeten veranderen in de IT-omgeving van het bedrijf om het risico op kwaadwillige hacks of dataverlies zo klein mogelijk te maken.

Jorn: Zo’n pentest of security scan is ook een goede tool om IT-security binnen het bedrijf hoger op de agenda te krijgen. Meestal worden werknemers wel ingelicht over security en over best practices op het vlak van IT (beheer van documenten, beveiligen van wachtwoorden…). Toch zien we dat medewerkers zich pas echt bewust worden van de gevaren als ze eens met de neus op de feiten worden gedrukt en zien hoe een kleine onoplettendheid toch desastreuze gevolgen kan hebben.

Wat gebeurt er dan nadat een klant zich laat hacken door jullie?
Jorn: Eens we onze tests hebben afgerond, maken we een rapport dat wordt voorgesteld aan het bedrijf. Hierin staat wat we hebben gedaan, welke kwetsbaarheden we hebben gevonden, hoe iemand daar misbruik zou kunnen van maken… Voor elk van die kwetsbaarheden formuleren we ook een advies om het probleem op te lossen en suggesties rond de tools die hiervoor het meest geschikt zijn. Een ethical hack is dus eigenlijk nog maar de eerste stap in een langer proces. Met de adviezen die wij in ons rapport formuleren, kunnen bedrijven en organisaties hun IT-security verder gaan optimaliseren. Veel van de bedrijven die wij hacken en testen, gaan nadien dan ook verder aan de slag met ons of onze collega's om nieuwe securitytools en -policies uit te rollen.

Op zoek naar een cybersecurity partner? Bekijk Savaco's security intelligence & defense aanbod.

Slagen Jorn en Roy erin in uw bedrijf in te breken?

Zijn de veiligheidsmaatregelen in uw IT-omgeving wel voldoende geschikt om de nieuwste vormen van cybercriminaliteit tegen te houden? Wil u weten of u geen security-issues over het hoofd ziet? Dan kan een security scan of een pentest u meer inzicht bieden. Jorn en Roy staan alvast paraat om uw IT-omgeving aan een grondige test te onderwerpen!

Vraag een security scan of pentest aan