Managed Crowdsourced Security Testing

Synack, het vertrouwde crowdsourced security testing platform, biedt de mogelijkheden tot het uit kunnen voeren van uitgebreide penetratietests. Synack werkt met een exclusief team met securityspecialisten in combinatie met gepatenteerde technologieën om kwetsbaarheden efficiënt te kunnen vinden en ook op te lossen voordat criminelen ze kunnen gebruiken om bijvoorbeeld klantgegevens te stelen, geld te ontvreemden of erger nog.

De diensten van Synack zijn cloud-gebaseerd en kunnen binnen 24 uur na bestelling worden geactiveerd ten behoeve van externe tests. Alle abonnementsvormen bevatten standaard het uit kunnen rollen van het Synack Red Team, het gebruik van het Synack platform (Hydra, LaunchPoint™ en klantenportaal), end-to-end programmamanagement vanuit het Synack OPS team en een vulnerability disclosure programma. Synack test onder andere web infrastructuren, mobiele host infrastructuren en zelfs API’s. Meer dan 100 organisaties wereldwijd maken gebruik van de Synack diensten om effectievere- en efficiëntere penetratietests uit te kunnen voeren.

Synack Platforms

Het Crowdsourced security Testing Platform

Het Synack crowdsourced security testing platform is het enige platform dat het beste van zowel de menselijke- als geautomatiseerde mogelijkheden combineert om effectieve en efficiënte securitytests op continue basis te kunnen uitvoeren. De gepatenteerde Hydra technologie™ verkent het aanvalsgebied en versnelt met de opgedane kennis het Synack Red Team proces om kwetsbaarheden te kunnen ontdekken. Vervolgens jaagt het Synack Red Team creatief op kwetsbaarheden gebruik makend van hun op een aanvaller gebaseerde mindset en de nodige security checklists. Alle werkzaamheden vinden plaats door de beveiligde Synack gateway (LaunchPoint™) die volledig wordt beheerd door Synack Operations (“Mission OPS”). Verkregen resultaten zijn in bijna real-time beschikbaar in het klantenportaal.

Het Synack Model

Het Synack platform levert een continu beveiligingsvliegwiel. Dit helpt om het beveiligingsrisico aanzienlijk te kunnen verminderen door gebruik te maken van menselijke intelligentie in combinatie met machinegebaseerde intelligentie.

  1. Vulnerability Discovery - Ga op zoek naar onbekende kwetsbaarheden door gebruik te maken van een aanpak zoals een hacker dat zou doen, met een groep security specialisten met meer kennis, ervaring, kunde en specialisatie dan dat er vandaag de dag bij generieke security specialisten aanwezig is.
  2. Compliance Testing - Door gebruik te maken van penetratietests met een checklist onderdeel wordt zowel getest op ernstige kwetsbaarheden maar vindt ook compliance vriendelijke documentatie plaats van de uitgevoerde checks die wellicht geen vulnerabilities blootleggen maar die wel de staat van veiligheid aantonen.
  3. Enterprise-Wide Coverage - Versterk uw security teams met SmartScan met als voordeel een organisatiebreed bereik zonder alle ruis – Het Synack Red Team past triage toe op vermoedelijke kwetsbaarheden die door Hydra worden ontdekt, waardoor over de kwetsbaarheden die kunnen worden misbruikt gedetailleerde herstel- en replicatierapportages kunnen worden aangeleverd.
  4. Efficient Vulnerability Management - Schaal eenvoudig uw vulnerability management proces verdeeld over honderden applicaties middels het uitgebreide Synack platform.
  5. Remediation & Patch Verification - Alle bovenstaande resultaten worden in gedetailleerde, en geverifieerde rapportages aangeboden aan uw ontwikkelteams zodat zij direct aan de slag kunnen om eventuele fouten op te lossen. Ga terug naar de testers met de resultaten zodat zij direct de effectiviteit van alle patches kunnen nakijken – Gemiddeld 15% van alle uitgevoerde patches vinden niet goed plaats, en er is maar een klein foutje in het systeem nodig om in te kunnen breken op een systeem.
  6. Attacker Resistance Score - Beoordeel uw risicogebieden en prioriteer welke gebieden als eerste aangepakt moeten worden op basis van de waarde van deze gebieden voor uw specifieke organisatie.
  7. Repeat this process - Het proces kan continu in werking zijn zodat onderzoekers altijd een stimulans hebben om het leven van kwetsbaarheden zo kort mogelijk te houden.

Integratie met uw SDLC

Het gehele Synack testproces kan worden geïntegreerd in een software development lifecycle (SDLC) vanwege integraties met DevOps tools en de LaunchPoint bescherming die zelfs reikt tot de interne en zelfs de pre-productiemiddelen. Dit zorgt ervoor dat de levensduur van de kwetsbaarheden wordt verkleind en daarmee uiteindelijk ook de kosten voor het wegnemen van de kwetsbaarheden worden gereduceerd.

Het Synack Red Team (SRT)

Het Synack Red Team is het eigen netwerk van Synack waarin zich hoogbekwame, kundige en zeer goed doorgelichte security onderzoekers van over de hele wereld bevinden. Deze securityspecialisten ondergaan de strengste combinatie van screening, interviews, testen van vaardigheden en doorlichting die er bestaat zodat aan de klanten van Synack enkel de beste meest vertrouwde oplossing wordt geboden. Dit team levert de rigoureuze, creatieve en volledig vanuit het aanvallersperspectief opgezette aanpak die het testproces van Synack zo waardevol maakt. Deze zeer getalenteerde onderzoekers brengen kwetsbaarheden in kaart en leveren checklists en rapportages aan enkele van de grootste bedrijven en overheidsinstanties ter wereld. Synack ondersteunt het eigen Red Team met speciaal gebouwde gepatenteerde technologie die de onderzoekers nog efficiënter maakt. Onderzoekers worden daarnaast ook beloond voor succesvol aangeleverde informatie over gevonden kwetsbaarheden en ook voor hun continue bijdrage middels het Synack Bug Bounty programma, door betalingen per uitgevoerde taak maar ook op basis van de status die zij hebben verworven in het SRT Loyaliteitsprogramma. Het resultaat hiervan is dat de onderzoekers sterk gemotiveerd zijn om diepgaande tests te doen.

LaunchPoint™

De leden in het Synack Red Team dienen alle tests voor klanten uit te voeren via LaunchPoint, de eigen ontwikkelde en streng beveiligde gatewaytechnologie van Synack. LaunchPoint legt alle gegevens rondom het testen vast en biedt de mogelijkheid om geheel transparante analyses uit te kunnen voeren alsmede om de werking van het crowdsourced testmodel te kunnen controleren. De analyses omvatten onder andere een overzicht van het aantal testuren dat is vastgelegd, een analyse van de gebruikte aanvalstypen, inzicht in de dekking van de uitgevoerde tests en ook de mogelijkheid om al het testverkeer opnieuw af te spelen en te pauzeren is aanwezig.

Hoe gaan we te werk?

Synack biedt een combinatie van diverse Crowdsourced security test oplossingen voor zowel web- als mobiele applicaties, host infrastructuren en API’s met haar systeem dat is gebouwd op het Synack Platform en de slimme scantechnologie.

Synack biedt verschillende mogelijkheden om haar diensten in te kunnen zetten: Synack biedt verschillende mogelijkheden om haar diensten in te kunnen zetten

  • het Synack Platform: Always-On Security inzichten, inclusief ‘Smart Scanning’ – inbegrepen in alle diensten
  • Disclose: Vulnerability Disclosure Programma – inbegrepen in alle diensten
  • Discover: Crowdsourced Vulnerability Discovery
  • Certify: Crowdsourced Penetration Tests
  • Synack365: Crowdsourced Penetration Tests 365

Het Synack Platform

Het Synack platform bestaat uit de gepatenteerde technologie, waaronder Hydra, LaunchPoint en de unieke algoritmen en intelligence die worden gebruikt in SmartScan. SmartScan maakt gebruik van de Hydra technologie om continu te controleren op potentiële kwetsbaarheden en maakt gebruik van het Synack Red Team om gevonden kwetsbaarheden te kunnen valideren zodat er door klanten geen tijd hoeft te worden besteed aan intelligence van lage kwaliteit. De opgeleverde resultaten omvatten versnelde herstel- en detectieprocessen, goed geïnformeerde security teams en gedurende 24x7x365 continu nieuw inzicht.

Discover: Crowdsourced Vulnerability Discovery

Gebruikmakend van het Synack platform in combinatie met SmartScan vindt Discover kwetsbaarheden door het inzetten van creatieve hackers in een ongestructureerde jacht in web, mobiele en host/infrastructuur omgevingen. De zeer goed doorgelichte groep met uiterst kundige security onderzoekers, genaamd het Synack Red Team, wordt ontketend via een veilig platform om klant specifieke omgevingen te testen. Ze worden uitgerust met gepatenteerde verkenningstechnieken vanuit Synack Hydra om ervoor te zorgen dat er geen dubbele onderzoeken of onderzoeken die nergens toe leiden uitgevoerd worden. De Synack onderzoekers worden daarnaast gestimuleerd door een zeer snel uitbetalend Bug Bounty model om kwetsbaarheden te vinden en hierover rapportages aan te leveren zodat deze kunnen worden nagekeken, beoordeeld en gebruikt kunnen worden om de kwetsbaarheid weg te kunnen nemen. De ongestructureerde testmethodiek binnen Discover genaamd Crowdsourced Vulnerability Discovery bootst daadwerkelijke aanvalspogingen die tegenstanders gebruiken om kwetsbaarheden te misbruiken na. Dit type testen richt zich met name op de zwakke punten van veel ‘defense first’ strategieën waarbij aanvallen enkel kunnen worden voorkomen als ze begrepen zijn en er ‘fingerprints’ beschikbaar zijn.

Discover en alle andere Synack diensten zijn standaard voorzien van een Attacker Resistance Score, een belangrijke methode om daadwerkelijk te kunnen bepalen hoe kwetsbaar uw organisaties is als deze wordt bekeken vanuit het oogpunt dat er enkel toe doet, namelijk dat van de aanvaller. Zie onderstaande voor meer informatie over ARS en hoe dit kan worden gebruikt om een toepassing te beheren gedurende de groei naar security ‘volwassenheid’.

Tijdens een Discover-opdracht jaagt de Synack Red Team onderzoeker 2 weken actief op kwetsbaarheden. Tijdens dit proces wordt de onderzoeker ondersteund door SmartScan. Na deze 2 weken draait SmartScan het gehele jaar verder door. Als onderdeel van de opdracht ontvangen klanten een volledig beheerde dienst waarin onder andere een speciaal toegewezen programmamanager, scoping diensten, programmamanagement en triage van kwetsbaarheden, melding van kwetsbaarheden, patch verificatie, vulnerability disclosure en gedetailleerde analyses en rapportages onderdeel van uitmaken.

Certify: Crowdsourced Penetration Testing

crowdsourced vulnerability discovery methodiek, op basis van duidelijke check lists getest wordt. Certify zorgt voor gedocumenteerd bewijs dat specifieke security onderzoeken daadwerkelijk op een bepaald moment uitgevoerd zijn. De Synack Red Team onderzoekers zorgen er samen met de intelligente scantechnologie, gestimuleerd door een Synack Bounty Programma, voor dat kwetsbaarheden worden gevonden en dat compliance checklists worden afgevinkt. Het regelmatig uitvoeren van Crowdsourced Penetration tests zorgt ervoor dat de gehele security organisatie binnen een bedrijf adequaat werkt en in de loop van de tijd zelfs zal verbeteren. Elke controle gedurende dit proces wordt uitgevoerd door een gekwalificeerd Synack Red Team lid dat een of meerdere onderdelen behandelt op basis van OWASP of PCI.

Het resultaat van de compliance tests via Certify is een gedocumenteerd rapport met daarin de security tests die zijn uitgevoerd los van het feit dat er een kwetsbaarheid is gevonden.

Gedurende een Certify traject zal het Synack Red Team 2 weken lang actief jagen op kwetsbaarheden. Zij worden hierbij ondersteund door de SmartScan technologie. Na deze 2 weken draait SmartScan het gehele jaar verder door. Als onderdeel van de opdracht ontvangen klanten een volledig beheerde dienst waarin onder andere een speciaal toegewezen programmamanager, scoping diensten, programmamanagement en triage van kwetsbaarheden, melding van kwetsbaarheden, patch verificatie, vulnerability disclosure en gedetailleerde data analyses en rapportages onderdeel van uitmaken.

Synack365: Crowdsourced Penetration Testing 365

Om maximale test discipline te kunnen garanderen biedt Synack 365 actieve, SRT geleide tests en dekking gedurende 365 dagen per jaar, ondersteund door SmartScan. Synack 365 is de enige penetratietest oplossing die technologie en crowdsourced menselijke intelligentie met elkaar combineert. Een op een jaarlijkse subscriptie gebaseerde overeenkomst omvat een volledig beheerde dienst met reguliere compliance verificatie, een speciaal toegewezen programmamanager, scoping dienstverlening, programmamanagement, triage van kwetsbaarheden, notificatie van kwetsbaarheden, patch verificatie, vulnerability disclosure programma management en gedetailleerde data analyses en rapportages.

Door continue beveiligingstestprogramma’s te implementeren, kunnen organisaties hun beveiliging nog beter oplijnen met hun ‘continuous integration / continuous deployment’ (CI/CD) ontwikkelproces waardoor de levensduur van kwetsbaarheden die kunnen worden uitgenut kan worden verkort en/of worden geëlimineerd. Het gevolg hiervan is dat de bestendigheid van de systemen tegen een cyberaanval steeds verder wordt verbeterd.

Our products

Vendors

Sourcefire, Niksun, Netwrix, Redsocks, Rapid 7, Unomaly, Logpoint, Isight Partners

For more information, call our security consultants at +31 (0) 345 506 105 or send an email to info@isoc24.com