Focus Cyber Security

BAS doeltreffend in aanvulling op Pentesting & Redteaming

No Silver Bullit

Zoals in de eerdere blogs hopelijk duidelijk is geworden, is BAS zeker geen volledige vervanging voor Pentesten of voor Redteam activiteiten. Zoals in beide andere gevallen kan een BAS oplossing gezien worden als een offensieve manier van Security testen. Veel krijg ik de vraag, wat is dan offensief testen? En wat is defensief testen?

Bij offensief testen ben je op zoek naar kwetsbaarheden en probeer je aan te tonen dat bepaalde kwetsbaarheden uitgebuit kunnen worden. Daarentegen ben je bij defensief testen op zoek naar fouten in applicaties of omgevingen welke kunnen leiden tot een inbreuk.

Cert2Connect

In een notendop, met offensief testen ben je op zoek naar de symptomen van een ziekte, daar waar je met defensief de ziekte zelf probeert te vinden en te bestrijden. Daarbij is het niet onbelangrijk om te weten dat je in veel van de gevallen de ziekte pas echt kunt vinden als je alle symptomen in kaart hebt gebracht.

BAS is dus offensief en geen vervanging van Pentesten of Redteams. Sterker nog, in heel veel gevallen versterkt het BAS de twee andere technieken. BAS kan ook ingezet worden om middels de twee andere (vaak duurdere) technieken dieper door te dringen tot in de kern van het probleem, veel sneller en veel effectiever.
Bijvoorbeeld, middels een Pentest is er aangetoond dat een interne kritieke applicatie tal van kwetsbaarheden heeft op een aantal interfaces. In dit geval zou BAS ingezet kunnen worden om aan te kunnen tonen dat de bepaalde interfaces wel of niet bereikbaar zijn vanuit een andere type virtueel netwerk (VLANS) (direct of indirect) of zelfs vanaf het internet.

Ook zou bijvoorbeeld de Attack Surface Management (ASM)module van BAS ingezet kunnen worden om te zien of bepaalde delen van een applicatie draaien op plaatsen welke tot nog toe niet bekend zijn. Dit kan ik illustreren met een kleine anekdote over een dergelijk geval. Voor een grote internationale bank heb ik in het verleden samen met een team consultants een applicatie en de omgeving getest. Aan het einde van het project moesten we rapporteren dat we een aantal zeer kritieke kwetsbaarheden hadden gevonden. Tijdens de meeting om dit te rapporteren zaten de CISO van de bank, een IT specialist en een belanghebbende vanuit de betreffende businessunit bij in de vergadering. Nadat we alles gerapporteerd hadden, reageerde de CISO en de IT man van de bank “Wat zijn wij blij dat de applicatie nog niet gebruikt wordt of online staat”, waarop de belanghebbende van de business unit zeer nerveus reageerde “Wij moeten nu iets offline gaan halen en een paar honderd gebruikers gaan inlichten”. Wanneer deze bank BAS zou hebben gehad, dan was de kans groot geweest dat door de security afdeling gedetecteerd zou zijn dat er een applicatie van de bank online stond op een omgeving welke niet beheerd werd door de bank.

Echter een pentest duikt veel dieper en veel meer gericht op een omgeving, daar waar BAS continu het geheel op een offensieve manier monitored.

In het geval van Redteaming, wanneer BAS gebruikt wordt door een organisatie kunnen zij al op continue basis een aantal scenario’s van het red team testen. Denk hierbij aan testen of endpoints die kwetsbaar zijn voor specifieke aanvallen, of testen of een endpoint contact op kan nemen met een externe entiteit (voor het uitvoeren van commando’s of malafide software). Maar ook om de perimeter in de gaten te houden of te kunnen kijken of er ondanks een geïmplementeerd DLP systeem data gelekt kan worden.

Daarnaast kan een Redteam zelf ook gebruik maken van de BAS oplossing. Zie de agent op dat moment als een legup. Dit omdat de agent niet alleen gebruikt kan worden om één van de duizenden meegeleverde exploits te draaien, maar ook omdat er een module beschikbaar is waarbij een red team zijn eigen exploits kan draaien. Daarnaast kan bijvoorbeeld de ASM module van een groot deel van de ‘recon’-fase uitgevoerd worden.

Echter ook hier kan BAS geen volledige vervanging zijn. Bepaalde testen zijn nu eenmaal niet te doen vanuit de cloud. Phishing zou bijvoorbeeld deels m.b.v. een BAS oplossing gedaan kunnen worden, echter is dit alleen phishing via mail en bijvoorbeeld niet via telefoon. Ook het fysiek in een pand komen wordt niet getest evenals het fysiek plaatsen van een device in het netwerk.

In het geval van Redteaming kan BAS zeer goed ingezet worden om de organisatie zelf te ondersteunen, hun omgevingen robuuster te maken en kan het effectiever ingezet worden, daar waar het redteam het zou kunnen gebruiken om de testen met zeker 50% aan doorlooptijd te reduceren.

Appelen met peren vergelijken

Ik besef dat naar aanleiding van deze blog mogelijk een aantal van mijn collega’s nerveus worden. Je kunt nu eenmaal geen appelen met peren vergelijken. En hierin hebben ze zeker gelijk. Echter is mijn doel niet om aan te tonen wat de verschillen zijn, maar ik hoop aan te kunnen tonen hoe het elkaar versterkt.
Conclusie
Wanneer CISO's BAS opnemen als onderdeel van hun reguliere beveiligingsbeoordelingen, kunnen ze hun teams helpen hiaten in hun cyberweerbaarheid nog effectiever te identificeren en beveiligingsinitiatieven efficiënter te prioriteren.