Eerst overzicht, dan cybertesten

Eerst overzicht, dan cybertesten

Tientallen websites van de overheid zijn niet goed beveiligd – aldus een nieuwsbericht van AD op 9 juni jongstleden.
Doordat bepaalde websites open staan voor publiek, kunnen ook kwaadwillenden inloggen. Zo krijgen ze toegang tot het netwerk en kunnen zij hun slag slaan. Het Nationaal Cyber Security Centrum (NCSC) adviseert om dergelijke inlogpagina’s níet publiek toegankelijk te maken.

Dat lijkt een eenvoudige oplossing. Maar wat wij in de praktijk zien, is dat veel organisaties niet goed in beeld hebben welke websites zij open hebben staan – met of zonder inlogpagina. Of zelfs welke URL’s zij überhaupt allemaal hebben.

ThreadStone heeft een scan ontwikkeld die laat zien welke voordeuren een organisatie allemaal heeft op het internet. Wij hebben deze scan inmiddels vele honderden keren uitgevoerd voor verschillende klanten. Voor een groot mediabedrijf telden we bijvoorbeeld maar liefst 450 websites!

De eerste reactie is er bijna steevast een van verbazing: hebben wij zó veel internetadressen ‘in de lucht’? Als we dan verder praten en laten zien hoe deze ogenschijnlijk onbelangrijke want niet-gebruikte webadressen een grote open voordeur zijn voor digitale inbrekers, slaat de verbazing vaak om in bezorgdheid.

Bij de hack van Hof van Twente waren er pentests uitgevoerd. Die konden niet voorkomen dat de gemeente slachtoffer werd van cybercriminelen. Als wij een domeincontrole hadden mogen uitvoeren, hadden we deze zwakke plek gesignaleerd. Niet om te zeggen: hadden ze maar met ons in zee moeten gaan, maar om duidelijk te maken dat het de kleine moeite loont om eerst eens een goede overzichts‘foto’ te maken en een duidelijke scope te bepalen, waar kijken we naar, wat gaan we precies testen?

Wie het advies van het NCSC wil opvolgen doet er goed aan om eerst die belangrijke stap te zetten.

Deel dit artikel