blog

Auditvinkje

jan-karel

4 min read
Auditvinkje
Typische auditors. Photo by Thomas Delacrétaz / Unsplash

Er is een bijzonder soort magie in organisaties: het vermogen om serieuze dingen te reduceren tot een hokje op een checklist. Je kent het wel. Een spreadsheet met tabbladen, een kolom “Status”, en ergens halverwege een rijtje dat luidt: PENETRATIETEST – JA/NEE.

En op dat moment verandert penetratietesten, een activiteit die in de kern gaat over: “Kunnen we inbreken in ons eigen huis voordat een ander het doet?”, in een administratieve huisplant. Iets wat je af en toe water geeft zodat het niet doodgaat tijdens de audit.

Het probleem is: een penetratietest is geen plant. Het is een brandalarm. En de bedoeling van een brandalarm is niet dat het netjes op de muur hangt zodat de auditor tevreden is. De bedoeling is dat het een afschuwelijk lawaai maakt wanneer je huis in brand staat—liefst vóórdat de woonkamer verandert in een barbecue.

1) Een audit vraagt: “Heb je een slot?”

Een pentest vraagt: “Kan ik door je raam naar binnen terwijl je slot glimt in de zon?”

Audits zijn nuttig. Ze kijken of je beleid, processen en controles bestaan. Ze zijn de volwassenen die vragen of je überhaupt regels hebt in huis. Heel verstandig.

Maar een penetratietest doet iets anders: die test de werkelijkheid, inclusief alle menselijke rommel die audits zelden raken:

  • de vergeten admin-account
  • het “tijdelijke” firewall-regeltje dat permanent is geworden
  • de cloud bucket die per ongeluk publiek staat
  • de VPN die nog een jaar achterloopt met patches
  • de interne applicatie die “alleen intern” is, behalve dat iemand ooit een poort open zette en het vergat

Een audit is: “Laat de papieren zien.”
Een pentest is: “Oké, ik ga nu proberen je kroonjuwelen te pakken. Succes.”

En dat is, hoe zal ik het vriendelijk zeggen, net iets informatiever.

2) Een pentest is geen bewijs dat je veilig bent — het is bewijs dat je volwassen genoeg bent om jezelf onder ogen te zien

Organisaties willen graag horen: “Jullie zijn veilig.” Dat is een heerlijk zinnetje. Het voelt warm. Het is ook bijna altijd onwaar.

Een goede penetratietest eindigt niet met “alles is prima”, maar met een lijst die impliciet zegt:
“Jullie hebben een paar gaten, en sommige daarvan zijn groot genoeg om een bus doorheen te rijden.”

Dat voelt niet leuk. Dat is precies waarom het waardevol is.

Volwassen cybersecurity is niet het vermijden van slecht nieuws. Het is het organiseren van slecht nieuws: het vinden, rangschikken, fixen, verifiëren en herhalen. Een pentest is een gecontroleerde dosis werkelijkheid.

En als je organisatie een pentest alleen ziet als vinkje, dan heb je eigenlijk niet om waarheid gevraagd—je hebt om geruststelling gevraagd. Dat is iets anders. Dat is een deken. Security is geen deken.

3) Pentesten laat je zien hoe aanvallen écht verlopen: ketens, niet losse lekjes

Checklists denken in afzonderlijke controls: MFA? Ja. Logging? Ja. Patchbeleid? Ja.

Aanvallers denken in paden.

Een pentest laat zien hoe kleine dingen samen een ramp vormen:

  • een oude kwetsbaarheid op een webserver
    → leidt tot een foothold
    → leidt tot credential dumping
    → leidt tot laterale beweging
    → leidt tot toegang tot data/AD/cloud
    → leidt tot “waarom doet het hele bedrijf het niet meer?”

Op papier heb je misschien “veel maatregelen”. In de praktijk kan één zwakke schakel de rest irrelevant maken. Pentesten laat die ketens zien. Het vertelt je niet alleen wat stuk is, maar hoe stuk dingen samen een route worden.

En dat is het verschil tussen “we hebben een paar issues” en “we hebben een snelweg naar productie”.

4) Het is een stresstest van je mensen, niet alleen je techniek

Een pentest test niet alleen servers en applicaties. Het test ook:

  • hoe snel jullie reageren op signalen
  • of monitoring iets oppikt
  • hoe incident response werkt in het echt
  • of teams elkaar kunnen vinden zonder drie escalatielagen en een meeting

Soms is de grootste bevinding niet een CVE, maar een organisatie-reflex:
“Wie is eigenaar van dit systeem?”
…stilte.
“Wie kan dit patchen?”
…stilte.
“Wie heeft admin?”
…een oud account van een werknemer die in 2019 naar Bali is verhuisd.

Dat zijn volwassenheidsissues. Die los je niet op met één tool, maar met eigenaarschap en ritme. Een pentest is een spiegel. Niemand vindt spiegels leuk na de feestdagen, maar ze zijn informatief.

5) Een pentest wordt pas waardevol als je hem gebruikt als leerloop, niet als certificaatdecoratie

Het auditvinkje-gedrag ziet er zo uit:

  1. bestel pentest
  2. ontvang rapport
  3. upload PDF naar compliance-map
  4. vergeet alles
  5. herhaal volgend jaar met exact dezelfde bevindingen, maar nu in een andere lettertype

Een volwassen pentest-cyclus ziet er zo uit:

  1. scope slim (kroonjuwelen, aanvalspaden, realistische scenario’s)
  2. test
  3. triage (wat is exploitbaar, wat is blootgesteld, wat is impact?)
  4. fixen (met deadlines)
  5. hertesten (bewijs dat het weg is)
  6. structurele verbeteringen (waarom bestond dit?)
  7. metrics (worden we beter of produceren we alleen rapporten?)

Met andere woorden: een pentest is geen evenement. Het is een feedbackmechanisme.

Als je geen hertest doet, is het alsof je naar de dokter gaat, een diagnose krijgt, het recept in een la legt en zegt: “Zo, gezondheid geregeld.”

6) Het grootste misverstand: “We doen jaarlijks een pentest, dus we zijn gedekt”

Ja, en mensen gaan jaarlijks naar de tandarts. Toch poetsen ze tussendoor ook hun tanden. Tenminste, de mensen met ambitie.

Een pentest is een momentopname. Het zegt: “Op dit moment, in deze scope, met deze aannames, vonden we dit.” Het is geen eeuwig schild.

Maar het is wél een heel nuttig momentopname, omdat het vaak dingen vindt die scanners missen, die documentatie overslaat en die teams wegredeneren omdat “het altijd zo gewerkt heeft”.

En in cybersecurity is “het heeft altijd zo gewerkt” meestal de zin vlak voordat het ophoudt te werken.