Het is essentieel dat organisaties kunnen controleren dat informatie alleen toegankelijk is voor bevoegden. Zij vragen daarom aan Motiv om de beveiliging van gegevens in applicaties en databases te testen. Motiv voert daarvoor zeven verschillende security asessments uit. Deze brengen aan het licht wat de risico’s zijn en hoe het beter kan. Na een zogenoemde nulmeting, die vaststelt wat de huidige situatie is, kunnen de volgende controles de kwetsbaarheid van de systeemintegriteit aantonen.
Internal network
De meeste aanvallen om vertrouwelijke bedrijfs- of persoonsgegevens te achterhalen komen vanuit de interne organisatie. Motiv onderzoekt daarom of er binnen het interne netwerk mogelijkheden zijn om informatie te achterhalen. De testers doen zich in deze assessment voor als een geautoriseerde
interne medewerker van kwade wil. Als een ontevreden of wraaklustige werknemer proberen zij toegang te krijgen tot bijvoorbeeld de andere werkplekken binnen de organisatie. En als dat zo is, welke gevoelige of vertrouwelijke informatie halen zij dan boven tafel?
Internal database
Bedrijfs- en persoonsgegevens zijn vaak opgeslagen in grote databases. De beschikbaarheid en integriteit hiervan is bedrijfskritisch. Bovendien kan de software niet zonder meer geüpdate worden. Dat is te ingrijpend en te riskant. Dat maakt ze extra kwetsbaar omdat aangetoonde gaten in de beveiliging niet direct gedicht kunnen of mogen worden. Motiv onderwerpt daarom de interne (Oracle) databases aan een diepgaand beveiligingsonderzoek. De onderzoeksmethode daarvoor is door Motiv in nauwe samenwerking met Oracle ontwikkeld. De assessment biedt een grondig inzicht in het beveiligingsniveau van de omgeving.
External dial-up
Er zijn nog steeds veel bedrijven die gebruik maken van modemsystemen. Bijvoorbeeld als noodvoorziening voor het geval de breedbandverbindingen uitvallen. Hoewel deze systemen zelden of nooit gebruikt worden, zijn ze wel standby. Ze vormen feitelijk een open nooduitgang. Dus ook een ingang. Motiv test dit door middel van het zogenoemde “war dialing”. Hierbij wordt onderzocht in hoeverre modems vanaf de straat te benaderen zijn. Gewapend met een laptop en een mobiele telefoon proberen de testers toegang te krijgen tot de IT infrastructuur via de modems.
External network (inclusief draadloos)
Medewerkers worden steeds mobieler. Tele- of thuiswerkers, de technische buitendienst en verkopers willen toegang tot bedrijfsapplicaties en –databases. Draadloos of via internet. Bovendien ontstaan er samenwerkingsportalen of webservices waarin mensen via internet kunnen communiceren met de bedrijfssystemen. Motiv kijkt in deze assessment over de schouders mee. Enerzijds door met een externe aanval via internet te onderzoeken hoe sterk de verdediging van webservices is. En welke informatie hiermee kan worden verkregen. Anderzijds kan Motiv op locatie “war driving” uitvoeren. Hierbij wordt met gespecialiseerde apparatuur toegang gezocht via draadloze netwerkaansluitingen.
Stolen equipment simulatie
Onderzoek toont aan dat de meeste mensen niet zo zuinig zijn op hun bedrijfsinformatie. Met regelmaat raken zij draagbare media, zoals USB-sticks, laptops, PDA’s en smartphones, kwijt. Hetzij door diefstal of verlies. In deze assessment krijgen de testers van Motiv de beschikking over een mobiel apparaat. Bij voorkeur van een directielid. Vervolgens onderzoeken zij welke informatie van dit apparaat verkregen kan worden. En wat de gevolgen zijn voor de organisatie en/of de medewerker als deze in de verkeerde handen terecht komt.
Social Engineering
Systemen worden weerbaarder en mensen meer bewust van maatregelen om hackers buiten de deur te houden. Computercriminelen worden echter ook steeds slimmer. Zij richten de pijlen eenvoudig meer op de mens dan op de machine. Het menselijke contact, en een dosis toneeltalent, creëert een gevoel van vertrouwen. Dit heet social engineering en wordt steeds vaker toegepast. Als volleerde hackers benaderen de testers van Motiv medewerkers via de telefoon of e-mail. Zodoende proberen zij vertrouwelijke informatie te krijgen. Dit lukt verrassend vaak.
Physical entry
De beveiliging van de systemen, databases en applicaties kan uitstekend op orde zijn. Als het kantoorgebouw dan echter eenvoudig toegankelijk is, ontstaat er toch een gevaar dat mensen bij de data kunnen komen. Soms zelfs letterlijk. Motiv controleert daarom ook de status van de fysieke beveiliging. De testers proberen als onbevoegden toegang te krijgen tot locaties van de klant. Zij kijken bovendien welke informatie tijdens een dergelijk bezoek verkregen kan worden. Physical entry kan desgewenst gecombineerd worden met “war driving”.
Security met beleid
Beveiliging gaat veel verder dan één relatief korte security assessment van een bedrijfsnetwerk of -locatie. Motiv helpt bedrijven daarom ook om security echt te integreren als bedrijfsproces. Anders blijft beveiliging iets wat men koopt, niet wat men doet. Met alle risico’s van dien.