EN / RU / AR / NL

Hoe goed zijn uw kroonjuwelen beveiligd?

VASC - Vulnerability Assessment & Security Consultancy - is een jonge, gedreven organisatie die zich richt op de internationale IT-security markt met kwalitatief hoogwaardige IT-beveiligingsdiensten. VASC is gespecialiseerd in het efficiënt identificeren, verminderen en voorkomen van IT-beveiligingsrisico’s. De vraag is hoeveel risico bent u als organisatie bereid te lopen?

Scroll down

Over ons

VASC is gespecialiseerd in het efficiënt indentificeren, verminderen en voorkomen van beveiligingsrisico's

Onze focus ligt op het uitvoeren van kwalitatief hoogwaardige diensten als high-end penetratietesten op IT-infrastructuren/applicaties en Red Teaming. Daarbij staat VASC open voor vernieuwende samenwerkingsverbanden om actuele kwetsbaarheden aan te pakken en te blijven innoveren als het gaat om IT-beveiliging.

De samenleving digitaliseert in rap tempo. Steeds meer mensen en bedrijven zijn steeds vaker online, slaan gegevens op in de cloud en streven naar maximale mobiliteit en connectiviteit. Dit biedt kansen voor gebruikers, partners, klanten, werknemers en concurrenten. Maar ook voor cybercriminelen die sluw inspelen op de nieuwe mogelijkheden van de digitalisering en daarbij een steeds grotere bedreiging vormen voor organisaties.

Scroll down

Onze diensten

bedrijven maken zich met recht steeds vaker zorgen om reputatie- en merkschade.

Schade als het gevolg van cyber aanvallen kan in de miljoenen lopen en is vaak niet snel opgelost. Toch mag je van grote organisaties verwachten dat zij professioneel omgaan met privacygevoelige gegevens. VASC kan hieraan bijdragen middels de (periodieke) uitvoering van technische IT-beveiligingstesten.

Technische IT-beveiligingsonderzoeken zijn er in verschillende vormen en maten en uit te voeren op verschillende onderzoeksobjecten.

Het soort onderzoek is van een aantal zaken afhankelijk. Zoals het moment waarop het wordt uitgevoerd (als de omgeving al is opgeleverd of eerder), welk onderdeel of risico getest wordt (een hacker die het systeem aanvalt, of iemand die met behulp van social engineering een gebruiker aanvalt) en hoe uitgebreid er onderzocht moet worden (met of zonder broncode) of de toegankelijkheid tot configuraties van systemen. Het is dan ook verstandig om als organisatie vooraf te bedenken wat de 'kroonjuwelen' zijn die beveiligd dienen te worden. Tijdens een onderzoek kan dan worden uitgegaan van de werkwijze van cybercriminelen; wat zijn de kroonjuwelen van een organisatie en hoe kunnen die worden bereikt.

Voor de uitvoering van een technisch IT-beveiligingsonderzoek beschikt VASC over diverse onderzoeksmodules zoals Black box, Grey box en Crystal box. Daarnaast verzorgt VASC Code reviews/inspecties, penetratietesten, (fysieke) social engineering en Red teaming.


SCADA/ICS

Binnen de kritieke infrastructuur worden veel SCADA/ICS-systemen gebruikt voor de aansturing en het uitlezen van data in de procesindustrie. Deze systemen zijn over het algemeen niet ontworpen vanuit een oogpunt van security, maar moeten vooral gewoon werken en lang meegaan. Verstoringen van SCADA/ICS-systemen kunnen impact hebben op de fysieke wereld. Sluizen gaan ongewild open, energiecentrales vallen stil of waterzuivering is ineens niet meer betrouwbaar.

Teneinde uw SCADA/ICS-omgeving te beschermen tegen mogelijke cyberaanvallen, kan VASC een security onderzoek uitvoeren om veiligheidslekken te identificeren. Een veelgebruikte methode hierbij is Red Teaming waarbij een mix van een aantal aanvals- en testtechnieken wordt ingezet.

bescherm kostbare gegevens en zorg voor vertrouwen.

Het uitvoeren van technische IT-beveiligingsonderzoeken is een preventieve en detectieve maatregel waarmee IT-beveiligingsproblemen kunnen worden opgespoord, zodat deze worden opgelost voordat bepaalde actoren hier misbruik van kunnen maken. In de wijze waarop organisaties beschermd kunnen worden is het van belang de eventuele actor en de mogelijke dreiging vast te stellen. Dit onderscheid is van groot belang, want niet alle organisaties zijn even ‘aantrekkelijk’ voor de verschillende typen van cyberdreiging.

De persoon of organisatie achter aanvallen zijn in te delen in:

  1. De eenvoudige hacker, gemotiveerd om te laten zien wat hij/zij allemaal kan.
  2. De activist, gericht op het uitdragen van een gedachtegoed, vaak gedreven door een ideologie of gericht op het zaaien van angst, gedreven door politieke doelen.
  3. Georganiseerde misdaad, gericht op direct geldelijk gewin (bijvoorbeeld door phishing) of indirect geldelijk gewin, gericht op het doorverkopen van bedrijfs- gegevens.
  4. Staten, gericht op het verbeteren van de geopolitieke positie of vergroting van de interne machtspositie.

Hierbij zijn er zeven dreigingen te onderscheiden:

  • Verkrijging en openbaarmaking van informatie
  • Identiteitsfraude
  • Manipulatie van data
  • Spionage
  • Verstoring van ICT
  • Overname en misbruik van ICT
  • Bewust beschadigen imago

Applicatieonderzoeken

VASC maakt gebruik van zowel applicatie-, als infrastructuuronderzoeken. Applicatie-onderzoeken kunnen worden ingedeeld in een 6-tal risicoprofielen. Hierbij spelen factoren als afbreuk risico's, imagoschade en de grootte van gebruikersgroepen een belangrijke rol, of als er sprake is van bijzondere persoonsgegevens. Risicoprofiel 1 is het profiel met het hoogste risico en risicoprofiel 6 het laagste.

Infrastructuuronderzoeken

Voor beveiligingsonderzoeken van IT-infrastructuren die nieuw worden opgeleverd kan eenzelfde risico-indeling worden gebruikt zoals hiervoor vermeld voor applicaties. In veel gevallen zal er ook sprake zijn van een integraal project waarbij zowel een nieuwe applicatie wordt ontwikkeld als de bijhorende IT-infrastructuur.

IT Beveiligingsonderzoeken

We werken met 7 typen IT Beveiligingsonderzoeken

Het uitvoeren van technische IT-beveiligingsonderzoeken is een preventieve, detectieve en reactieve maatregel waarmee IT-beveiligingsproblemen kunnen worden opgespoord, zodat deze worden opgelost voordat bepaalde actoren hier misbruik van kunnen maken.

Black Box - Het onderzoek dat inzicht geeft

Bij het Black box onderzoek wordt vooraf geen informatie verstrekt, behalve welk systeem (applicatie en/of infrastructuur) onderzocht dient te worden. VASC krijgt hierbij geen enkele hulp en zal het zelf moeten uitvinden. Hierdoor maken we goed inzichtelijk in wat een aanvaller vanaf het internet kan bereiken zonder verdere voorkennis en zonder legitieme toegang. Black box onderzoek wordt vaak in een beperkte tijd uitgevoerd, een tijd die veelal korter is dan de tijd die aanvallers bereid zijn in een aanval te steken.

Grey Box - Legt kwetsbaarheden bloot

Bij een Grey box onderzoek worden de login-gegevens verstrekt aan onze consultants. Zo krijgen zij inzicht in de mogelijke kwetsbaarheden die uitgebuit kunnen worden door gebruikers die legitiem toegang tot een systeem, netwerk of applicatie hebben. Alle onderzoeken die in een Black box aanpak worden uitgevoerd, worden ook in de Grey box aanpak uitgevoerd. Hieronder valt bijvoorbeeld het onderzoek of in hoeverre het inloggen voor niet-geautoriseerde gebruikers te omzeilen is.

Crystal Box - Maakt systemen inzichtelijk

Met Crystal box wordt volledig inzicht gegeven in de werking van het te onderzoeken systeem. Er wordt bijvoorbeeld beheertoegang tot de servers verstrekt en de broncode van een applicatie ter beschikking gesteld. Ook vragen over de inrichting worden door architecten, ontwikkelaars of beheerders beantwoord. Hierdoor kunnen die onderdelen van de omgeving beoordeeld worden, waar anders geen toegang tot zou zijn.

Social Engineering - Op de mens gericht

Het social engineering beveiligingsonderzoek richt zich niet direct op de techniek, maar op wat vaak de zwakke schakel in de keten is, namelijk de mens. Tijdens een aanval zal een hacker proberen toegang te krijgen tot vertrouwelijke informatie.


We onderscheiden 4 verschillende soorten social engineering aanvallen/onderzoeken:

Phishing kan worden ingezet om grote groepen mensen in aanraking te laten komen met de test (die daarna in de bewustwordingscampagne gebruikt kan worden). In samenspraak met de organisatie of instelling wordt een scenario bedacht waarbij gebruikers een e-mail krijgen met daarin een link en/of een attachment. Er kan apart gerapporteerd worden over hoeveel mensen op de link hebben geklikt en hoeveel mensen op de bijbehorende website ook hun credentials hebben ingegeven.

Bij deze vorm van social engineering wordt telefonisch contact opgenomen met een afdeling of specifieke personen. Het doel hierbij is om deze mensen over te halen om telefonisch gevoelige informatie te delen zoals gebruikersnaam en wachtwoord, maar we zullen ook proberen om bepaalde 'kroonjuwelen' te bemachtigen

Hoe makkelijk is het om een interne PC te infecteren? Hiertoe worden USB-gadgets verspreid die een stuk elektronica bevatten die de PC proberen te infecteren. Hierbij worden USB-sticks op locatie achtergelaten of als gadget naar personen verstuurd. Zowel de USB-stick als het gadget zijn dusdanig geprepareerd dat als deze gebruikt worden in een PC of laptop dat er code execution plaats vindt. In de regel zal er slechts een verbinding worden opgezet in plaats van dat de PC geïnfecteerd wordt, dit in verband met het extra werk en risico dat daaraan is gekoppeld. In beide gevallen wordt de kwetsbaarheid aangetoond.

Hoe makkelijk is het om ergens binnen te komen? Door middel van social engineering onderzoeken we of het lukt een organisatie binnen te komen of om op plaatsen te komen die niet openbaar zijn, zoals bijvoorbeeld rekencentra, operatiekamers of onderzoekslaboratoria.


Onder fysieke social engineering worden alle acties verstaan die nodig zijn om lijfelijk toegang te verkrijgen tot ruimtes met vertrouwelijke informatie. Dit gebeurt onder meer door tailgating (met iemand door de beveiliging heen lopen) en het tijdelijk aannemen van een andere identiteit. VASC is hierin uniek en faciliteert zowel technische als fysieke ITbeveiliging waarmee een breed spectrum van IT-security kan worden voorzien.

Code review/inspectie - De code gecontroleerd

Tijdens een code review/inspectie wordt op basis van een controle van de beschikbaar gestelde broncode van een werkende applicatie een oordeel geveld over de applicatie/code. Het betreft hier geen volledige code review, maar controle van (belangrijke) delen van de code.


Bij een volledige review van de code wordt (zeer) veel code handmatig onderzocht en bepaalde delen met behulp van automatische tooling.

Penetratietesten - Hoe ver kunnen we komen?

Bij een Black/Grey/Crystal box onderzoek gaat het vooral om het vinden van zoveel mogelijk kwetsbaarheden en de rapprtage hierover. Tijdens een penetratietest is de opzet om in een beperkte tijd een of meer kwetsbaarheden te vinden en die ook daadwerkelijk uit te buiten door zo diep mogelijk door te dringen in een netwerk/applicatie.

Red Teaming - Richt zich op de kroonjuwelen

Een Red teaming onderzoek richt zich niet op een bepaalde applicatie of (deel van) een infrastructuur. Dit onderzoek richt zich op de kroonjuwelen van een organisatie. Hierbij wordt gericht geprobeerd toegang te krijgen tot de belangrijkste bedrijfsgegevens door gebruik te maken van de weg van de minste weerstand, uitgaande van de denk en werkwijze van actoren die uit zijn op bepaalde kroonjuwelen van een organisatie.


Een Red teaming onderzoek bestaat uit een combinatie van zowel technische (voornamelijk Black box) als social engineering onderzoeken.


De te volgen scenario’s worden vooraf overlegd met de opdrachtgever. De opdrachtgever bepaalt uiteindelijk hoe ver hij of zij wil gaan met het onderzoek. Een dergelijk onderzoek geeft een realistisch beeld van de kwetsbaarheid van een organisatie, waarbij ook incident response en forensische paraatheid kan worden getest.

"

Onze aanpak

Intake en bepalen van de scope

Bij aanvang van een onderzoeksopdracht dient duidelijk te worden hoe groot, complex en risicovol een onderzoeksobject is. Dat is samen met de gebruikte onderzoeksmethodiek bepalend voor de hoeveelheid tijd die er aan een onderzoek moet worden besteed. Bij de uitvoering van IT-beveiligingsonderzoeken is het bepalen van de juiste scope daarom belangrijk. Om deze te bepalen, voor een onderzoek van applicaties of voor een ITinfrastructuur, vindt er een intake plaats waarin een aantal cruciale vragen als vertrekpunt gelden.

Offerte

De prijs van het IT-beveiligingsonderzoek bestaat uit 2 componenten: het (dag/uur) tarief en de tijd die voor het onderzoek is begroot. In de offerte wordt de aanpak beschreven, inclusief op basis van welk normenkader en/of best practices de test wordt uitgevoerd. Ook zal er duidelijk worden aangeven wat er van VASC kan worden verwacht en welke randvoorwaarden er zijn om een goed onderzoek te verrichten.

Planning

Na het bepalen van de scope en het gunnen van de opdracht zal het IT-beveiligingsonderzoek worden ingepland. Welke wensen zijn er ten aanzien van de planning? Moet er bijvoorbeeld rekening worden gehouden met de datum waarop de livegang plaatsvindt? Of heeft de organisatie te maken met een audit waarvan het onderzoek deel uitmaakt? Het is goed om deze wensen in een zo vroeg mogelijk stadium kenbaar te maken.
Het is wenselijk om bij de planning rekening te houden met een periode waarbinnen er nog tijd is om (indien noodzakelijk) de gevonden risico’s weg te nemen en vervolgens een heronderzoek te laten uitvoeren.

Aan de hand van de gewenste planning zullen we, gebaseerd op de afgesproken scope, bepalen welk team van specialisten het beste kan worden ingezet. Op basis van beschikbaarheid wordt er vervolgens samen een definitieve planning vastgelegd.

Contract

Als basis voor het contract met algemene voorwaarden (AV) kunnen de gebruikelijke contracten en AV voor IT-dienstverlening als basis dienen. Bij het opstellen van een contract voor het uitvoeren van een IT-beveiligingsonderzoek hanteren wij de volgende specifieke aandachtspunten:

  • Toestemming en vrijwaring en het goed vastleggen van de (technische) scope van de opdracht via url’s, IP-adressen en/of netwerkranges.
  • Geheimhouding: het is voor alle partijen van belang dat (de resultaten van) het IT-beveiligingsonderzoek zeer vertrouwelijk behandeld wordt.
  • Beperking aansprakelijkheid: het is gebruikelijk om de aansprakelijkheid van beide partijen te beperken tot een omvang gerelateerd aan de opdrachtgrootte.

Rapportage

Na afloop van het IT-beveiligingsonderzoek rapporteert VASC uitgebreid over alle bevindingen die tijdens het onderzoek zijn gedaan. In deze rapportage worden de volgende zaken duidelijk opgenomen:

  • De scope van het onderzoek
  • Uitvoeringsdata van het onderzoek
  • Managementsamenvatting
  • Conclusie op basis van de aangetroffen risico’s
  • De aangetroffen risico’s
    • Beschrijving van het risico
    • Bewijs van het risico
    • Classificatie van het risico
    • Advies over te nemen maatregelen

Opvolging bevindingen

Zodra het rapport door VASC is opgeleverd is het belangrijk dat de resultaten nauwkeurig worden bestudeerd. Hierop kunnen vervolgacties worden gedefinieerd. De meest positieve uitkomst van het IT-beveiligingsonderzoek en het rapport is dat er geen bevindingen zijn. In de praktijk blijkt vaak echter het tegendeel. Voor iedere bevinding moet vastgesteld worden wat de impact voor de organisatie is en wat de kosten zijn om de bevinding te mitigeren. Voor bevindingen met een hoog risiconiveau is de keus vaak helder, maar voor gemiddelde en met name lage risico's dient een organisatie een gedegen afweging te maken. Dit kunnen procedurele veranderingen zijn, maar bijvoorbeeld ook een opdracht aan ontwikkelaars en/of netwerkspecialisten om zodanige veranderingen aan te brengen dat het risico en/of impact van een bevinding wordt gereduceerd – bij voorkeur tot nul, maar in ieder geval tot een voor de organisatie aanvaardbaar niveau.

Heronderzoeken

Na het uitvoeren van een onderzoek en het oplossen van de bevindingen wordt aanbevolen om te laten controleren of dit op de juiste manier is gebeurd. Afhankelijk van de hoeveelheid aanpassingen die zijn gedaan om de bevindingen op te lossen kan door VASC een deelonderzoek worden uitgevoerd. Maar er kan ook een volledig nieuw onderzoek nodig zijn om te onderzoeken of de maatregelen die zijn getroffen geen nieuwe kwetsbaarheden hebben veroorzaakt. Een volledig heronderzoek is aan te raden als er meerdere maanden verstreken zijn sinds de uitvoering van het oorspronkelijk onderzoek. Hierbij is namelijk een grotere kans dat niet alleen bevindingen zijn opgelost, maar dat er ook andere aanpassingen zijn gedaan en functionaliteit is toegevoegd of verwijderd.

Wanneer er tot een heronderzoek besloten wordt zullen we in detail communiceren welke bevindingen bij het heronderzoek betrokken zijn.

Structurele Aanpak

Wij raden het aan om IT-security testen structureel aan te pakken. In de praktijk blijkt vaak dat deze testen ad-hoc worden uitgevoerd of alleen periodiek (met een lage frequentie en beperkte scope). Het ontwikkelen van duidelijk beleid rondom IT-beveiligingstesten kan medewerkers houvast geven wanneer welke applicaties en IT-infrastructuren met welke frequentie en met welke methodiek zouden moeten worden getest. Naast deze periodieke testen dient ook te worden nagedacht over het testen van nieuwe IT-projecten.

Scroll down

Contact

Safeguarding your precious data



Adres
Zuid Hollandlaan 7, 2596 AL Den Haag, Nederland
Telefoon
+31 70 240 08 30
Email