CIO: Pas veiligheidstests aan op het tempo van IT

Pentesting is in veel organisaties het belangrijkste middel om te controleren of alle ‘achterdeuren’ gesloten zijn. Het concept van een halfjaarlijkse of jaarlijkse controle is echter achterhaald. Met het huidige tempo van IT-vernieuwing én de toenemende digitale dreigingen, is continue pentesting een betere optie, wil je als CIO de digitale omgeving veilig houden.

Lees ook: Gaten in cybersecurity door blindelings vertrouwen in softwareoplossingen

Thijs DoorenboschMeer van deze auteur

Illustratie van een vergrootglas op een robotarm dat vliegende insecten vergroot die uit een digitaal document komen. — Shutterstock.com

Een periodieke pentest, die vaak een of twee keer per jaar wordt uitgevoerd, levert een momentopname als resultaat. Lange tijd was dit een prima aanpak, omdat het IT-landschap van veel organisaties redelijk stabiel was maar ook het dreigingsbeeld niet sterk veranderde. Beide argumenten zijn versleten, onder meer door de komst van AI-gedreven digitale aanvallen en omdat wet- en regelgeving vaker doorlopende controle vereist. Ook zorgen nieuwe manieren van software-ontwikkelingen, zoals agile methoden en het gebruik van low-code/no-code-tools, dat bedrijfssoftware voortdurend in ontwikkeling is, waardoor onverwachte kwetsbaarheden kunnen ontstaan. Daarnaast biedt de komst van thuiswerken cybercriminelen een groter aanvalsvlak.

Direct nieuwe risico’s beoordelen

Continuous pentesting combineert geautomatiseerde tests met regelmatige pentest-activiteiten die door mensen worden uitgevoerd. De geautomatiseerde testen zijn een onderdeel van de DevSecOps‑pipeline, zodat elke codewijziging, configuratieaanpassing of nieuwe implementatie direct op risico’s wordt beoordeeld. De resultaten komen niet langer in een statisch rapport, maar worden gepresenteerd in dashboards die gesignaleerde kwetsbaarheden bijna realtime weergeven.

De integratie in de DevSecOps-werkwijze stelt ontwikkelaars en IT-beheer ook in staat vroegtijdig nieuwe kwetsbaarheden te detecteren. Daardoor kan reparatie sneller en vaak tegen lagere kosten plaatsvinden dan wanneer een nieuw systeem volledig is geïmplementeerd.

Volgens recent onderzoek van zerothreat.ai vertrouwt 32 procent van de organisaties nog altijd halfjaarlijkse of jaarlijkse pentests. Ruim de helft schakelt daarvoor externe deskundigheid in. Van de grote organisaties voert 28 procent elk kwartaal een pentest uit. Bij kleinere organisaties gaat het om 13 procent. Ruim de helft (55 procent) gebruikt softwaretools om in-huis een pentestprogramma uit te voeren.

Snelle marktgroei, maar nog geen verzadiging

In veel gevallen gebruiken organisaties PenTest-as-a-service (PTaaS)-dienstverleners om de continue controle mogelijk te maken. MarketResearch.com becijferde onlangs dat de wereldwijde marktomvang van PTaaS in 2024 1,88 miljard dollar bedroeg en naar verwachting met een jaarlijkse groei van 17,6 procent in 2035 uitkomt op 11,19 miljard dollar. PTaaS heeft zich ontwikkeld tot een musthave voor proactieve beperking van risico’s in een snel veranderd landschap van digitale bedreigingen.

“Het enterprise IT-model krijgt steeds meer een continu karakter. Cyberdreigingen zijn dat altijd geweest. Het enige element dat gebaseerd bleef op episodes, is hoe organisaties hun beveiliging testen”, stelt Nick Turner, cyberspecialist van adviesbureau Trust Systems, in een opinie op CIO Watercooler. “Die onbalans is niet langer houdbaar. Het valideren van de beveiliging moet op hetzelfde tempo werken als IT en dat betekent continu pentesten.”