Waarom een security scan?

Je kunt jouw beveiliging niet evalueren als je deze niet grondig in kaart brengt. Je hebt daarom af en toe even een reality check nodig om er zeker van te zijn dat je nog steeds prioriteit geeft aan de juiste ​middelen, instellingen en oplossingen en dat jouw risico's zichtbaar en beheersbaar blijven. Wanneer je altijd alleen zelf je eigen netwerk test, ben je hier waarschijnlijk erg bevooroordeeld in, waardoor het weer een risico op zichzelf kan worden.

Een security scan is daarom een krachtig hulpmiddel om op een bepaald moment de beveiligingsrisico's in jouw infrastructuur bloot te leggen. Het verhoogt onmiddellijk de kennis en het bewustzijn en biedt jou bruikbare inzichten om je te verdedigen tegen bedreigingen. Maar wat heb je nu precies nodig?

Wat doet een security scan?

Ongeacht welk security vraagstuk je bij ons neerlegt, wij zullen altijd doorvragen naar de onderliggende behoefte om zo jouw organisatie echt verder te helpen. De vraag achter de vraag zoals ze dat vaak noemen. Toch merken wij dat er nog wel eens wat onduidelijkheid heerst over wat organisaties nu precies nodig hebben op het gebied van een security scan. Wellicht komt dat omdat er nogal wat vakjargon bestaat rondom de security scan, welke ook wel eens geduid wordt als een vulnerability scan, assessment, nulmeting of whitebox-audit en waarbij de security scan weer niet verward moet worden met security en compliance audit of een pentest.

Bij een security scan wordt de IT-infrastructuur gecontroleerd op bekende kwetsbaarheden, in een semi-automatisch proces, waarbij de resultaten worden weergegeven in een rapport (wij hebben hiervoor een best-practice ontwikkeld die wij graag aan jou laten zien). Hierbij zien we in de markt grofweg twee soorten scans die worden aangeboden.

In het eenvoudigste geval kan het gaan om een ​​lijst met (on)veiligheidsrelevante parameters van het (deel van een) netwerk, zonder dat deze verder grondig getest worden. Van de individuele kwetsbaarheden in deze lijst wordt bijvoorbeeld niet geverifieerd of deze kwetsbaarheden daadwerkelijk misbruikt kunnen worden. Bovendien kunnen sommige van de geïdentificeerde kwetsbaarheden false positives zijn, dat wil zeggen kwetsbaarheden die worden vermeld, maar die geen risico vormen in de huidige systeemcontext of te wijten zijn aan systeemtechnische details. Naast onjuiste parameterinstellingen worden er bijvoorbeeld vaak problemen zoals ontbrekende patches, verouderde logboeken en verouderde certificaten geconstateerd.

Onze security scan dien je hierdoor niet te verwarren met een security & compliance audit, want die geeft daarentegen vaak een uitgebreider en meer formeel overzicht van de beveiliging van de infrastructuur, samen met de beveiligingsrelevante processen binnen een bedrijf. Dit wordt doorgaans uitgevoerd met geautomatiseerde tooling en er komt weinig tot geen kennis van een security consultant bij kijken. Deze variant wordt door ons niet uitgevoerd, de uitkomsten van deze geautomatiseerde tools worden door ons als bijlagen toegevoegd in het rapport.

De tweede variant in de markt en tevens de variant die wij aanbieden, is een audit waarbij een security consultant naar elk onderdeel van het bedrijfsnetwerk kijkt, telkens met de bril van "security" op en waarbij proportionaliteit tot de organisatie wordt gehanteerd. De configuraties van netwerkonderdelen zoals switches, access points en firewalls worden volledig doorgelicht en ook domeinen, cloud-, server- en endpoint-omgevingen worden geïnspecteerd. Alle gevonden verbeterpunten worden genoteerd, geclassificeerd en beoordeeld zodat er een duidelijke prioriteitenlijst ontstaat waarmee de organisatie direct aan de slag kan. Tenslotte bevat ons rapport een realistisch aanvalsscenario op basis van de gevonden verbeterpunten om duidelijk te maken hoe een potentiële aanval zou kunnen plaatsvinden als er geen acties zouden worden ondernomen.

Hoe en wat moet er dan allemaal worden gescand?

Het type security scan dat voor een bepaald netwerk vereist is, hangt af van de wens van de organisatie. Zo willen sommige organisaties inzicht in de huidige staat van de bedrijfsbreed genomen security-maatregelen zodat deze verbeterd kunnen worden. Andere organisaties vinden het voldoende om het netwerk, of een segment ervan, onder de loep te nemen om te controleren of doorgevoerde maatregelen effectief zijn. Ook kan er vanuit certificeringsoverwegingen of vanuit een accountant worden gevraagd om een pentest of audit. Sommige organisaties voeren de security scan uit als eenmalige controle of nulmeting, maar de bedrijven die dit in hun beveiligingsbeleid opnemen, nemen een security scan die periodiek van aard is in combinatie met automatische tools die doorlopend het netwerk controleren.

Hulp nodig?

Het grootste probleem met netwerkscans is dat netwerken extreem complex van aard kunnen zijn. Maar wees gerust, daar helpen wij jou natuurlijk graag bij, want bij GroupSecure zijn we experts op dit gebied! Nadat onze scan is voltooid, gaan we voor jou het risico beoordelen, zodat jouw organisatie de juiste beslissingen kan nemen voor het betreffende netwerk. Meer weten? Neem gerust contact met ons op!