Synack ondersteunt organisaties om kwetsbaarheden te vinden en te dichten, nog voordat deze door cybercriminelen kunnen worden gebruikt om schade aan te richten aan de omgeving. Synack vindt, beoordeelt en rangschikt de kritische kwetsbaarheden in zelfs de meest ingewikkelde, compliance gedreven organisaties. Synack heeft als missie om samen met haar klanten, in plaats van enkel te voldoen aan compliance voorwaarden, daadwerkelijk veiligheid te bieden. Door middel van de over de gehele wereld verspreide security experts wordt door Synack een vanuit het perspectief van een hacker gedreven aanpak geboden. Hiermee kunnen organisaties zich beter beschermen tegen aanvallen.
Wat is er mis met het hedendaagse pentesten?
Standaard pentests falen doorgaans op drie fronten: inzicht, schaalbaarheid en het proces.
Inzicht – bij een standaard security test wordt vaak een checklist door de security experts afgewerkt. Deze checklist bevat de doelen en vaak wordt er een standaard rapport met daarin de uitgevoerde activiteiten als opleverdocument gebruikt. Als klant ontvangt men vaak enkel de resultaten zonder enig inzicht in het proces eromheen. In een pentest rapport mist vaak belangrijke informatie over hoe effectief de aanvalsomgeving is geëvalueerd. Synack lost dit probleem op door gebruik te maken van haar eigen secure gateway technologie, genaamd LaunchPoint, waarmee alle tijdens het testen gebruikte verkeer wordt “vastgelegd” door het platform.
Schaalbaarheid – tijdens een standaard pentest is men afhankelijk van een vaak erg gelimiteerde skillset en aanpak (1-2 personen per team) om de omgeving grondig te testen. De meeste security afdelingen maken gebruik van meerdere partijen om er zeker van te zijn dat er van voldoende diversiteit en robuustheid tijdens het testen sprake is. Deze aanpak kan niet meegroeien met het groeiende aantal aanvalsgebieden en de toenemende complexiteit van de aanvallen. Synack biedt een oplossing voor deze uitdaging door gebruik te maken van het Synack Red team, een selectie uit honderden top security researchers met diverse achtergronden die hoog aangeschreven staan om hun kennis, kunde en betrouwbaarheid. Het Synack Red Team wordt daarnaast verder versterkt door de gebruikte scantechnologie genaamd, Hydra.
Proces – de verwachte uitkomst van een standaard pentest is vaak dat men moet voldoen aan compliance normen gebaseerd op regelgeving in de sector en het compensatiemodel is vaak gebaseerd op de tijd die de tester heeft en de materialen die door de tester gebruikt worden. Deze manier van werken maakt het onmogelijk om testers te motiveren om juist de uitzonderlijk kwaadaardige vulnerabilities te laten vinden die enorme impact op de bedrijfsvoering kunnen hebben. Synack hangt de hoogste prioriteit aan het vinden en aanpakken van bedrijfskritische kwetsbaarheden die enorme impact kunnen hebben op de continuïteit, maar ook op de reputatie van het bedrijf.
De diensten van Synack zijn cloud-gebaseerd en kunnen binnen 24 uur na bestelling worden geactiveerd ten behoeve van externe tests. Alle abonnementsvormen bevatten standaard het uit kunnen rollen van het Synack Red Team, het gebruik van het Synack platform (Hydra, LaunchPoint™ en klantenportaal), end-to-end programmamanagement vanuit het Synack OPS team en een vulnerability disclosure programma. Synack test onder andere web infrastructuren, mobiele host infrastructuren en zelfs API’s. Meer dan 100 organisaties wereldwijd maken gebruik van de Synack diensten om effectievere- en efficiëntere penetratietests uit te kunnen voeren.
Het Synack platform bestaat uit de gepatenteerde technologie, waaronder Hydra, LaunchPoint en de unieke algoritmen en intelligence die worden gebruikt in SmartScan. SmartScan maakt gebruik van de Hydra technologie om continu te controleren op potentiële kwetsbaarheden en maakt gebruik van het Synack Red Team om gevonden kwetsbaarheden te kunnen valideren zodat er door klanten geen tijd hoeft te worden besteed aan intelligence van lage kwaliteit. De opgeleverde resultaten omvatten versnelde herstel- en detectieprocessen, goed geïnformeerde security teams en gedurende 24x7x365 continu nieuw inzicht.
Gebruikmakend van het Synack platform in combinatie met SmartScan vindt Discover kwetsbaarheden door het inzetten van creatieve hackers in een ongestructureerde jacht in web, mobiele en host/infrastructuur omgevingen. De zeer goed doorgelichte groep met uiterst kundige security onderzoekers, genaamd het Synack Red Team, wordt ontketend via een veilig platform om klant specifieke omgevingen te testen. Ze worden uitgerust met gepatenteerde verkenningstechnieken vanuit Synack Hydra om ervoor te zorgen dat er geen dubbele onderzoeken of onderzoeken die nergens toe leiden uitgevoerd worden. De Synack onderzoekers worden daarnaast gestimuleerd door een zeer snel uitbetalend Bug Bounty model om kwetsbaarheden te vinden en hierover rapportages aan te leveren zodat deze kunnen worden nagekeken, beoordeeld en gebruikt kunnen worden om de kwetsbaarheid weg te kunnen nemen. De ongestructureerde testmethodiek binnen Discover genaamd Crowdsourced Vulnerability Discovery bootst daadwerkelijke aanvalspogingen die tegenstanders gebruiken om kwetsbaarheden te misbruiken na. Dit type testen richt zich met name op de zwakke punten van veel ‘defense first’ strategieën waarbij aanvallen enkel kunnen worden voorkomen als ze begrepen zijn en er ‘fingerprints’ beschikbaar zijn.
Discover en alle andere Synack diensten zijn standaard voorzien van een Attacker Resistance Score, een belangrijke methode om daadwerkelijk te kunnen bepalen hoe kwetsbaar uw organisaties is als deze wordt bekeken vanuit het oogpunt dat er enkel toe doet, namelijk dat van de aanvaller. Zie onderstaande voor meer informatie over ARS en hoe dit kan worden gebruikt om een toepassing te beheren gedurende de groei naar security ‘volwassenheid’.
Tijdens een Discover-opdracht jaagt de Synack Red Team onderzoeker 2 weken actief op kwetsbaarheden. Tijdens dit proces wordt de onderzoeker ondersteund door SmartScan. Na deze 2 weken draait SmartScan het gehele jaar verder door. Als onderdeel van de opdracht ontvangen klanten een volledig beheerde dienst waarin onder andere een speciaal toegewezen programmamanager, scoping diensten, programmamanagement en triage van kwetsbaarheden, melding van kwetsbaarheden, patch verificatie, vulnerability disclosure en gedetailleerde analyses en rapportages onderdeel van uitmaken.
Aanvullend op alle mogelijkheden die binnen Discovery geboden worden zorgt Certify ervoor dat er, aanvullend op de crowdsourced vulnerability discovery methodiek, op basis van duidelijke check lists getest wordt. Certify zorgt voor gedocumenteerd bewijs dat specifieke security onderzoeken daadwerkelijk op een bepaald moment uitgevoerd zijn. De Synack Red Team onderzoekers zorgen er samen met de intelligente scantechnologie, gestimuleerd door een Synack Bounty Programma, voor dat kwetsbaarheden worden gevonden en dat compliance checklists worden afgevinkt. Het regelmatig uitvoeren van Crowdsourced Penetration tests zorgt ervoor dat de gehele security organisatie binnen een bedrijf adequaat werkt en in de loop van de tijd zelfs zal verbeteren. Elke controle gedurende dit proces wordt uitgevoerd door een gekwalificeerd Synack Red Team lid dat een of meerdere onderdelen behandelt op basis van OWASP of PCI.
Het resultaat van de compliance tests via Certify is een gedocumenteerd rapport met daarin de security tests die zijn uitgevoerd los van het feit dat er een kwetsbaarheid is gevonden.
Gedurende een Certify traject zal het Synack Red Team 2 weken lang actief jagen op kwetsbaarheden. Zij worden hierbij ondersteund door de SmartScan technologie. Na deze 2 weken draait SmartScan het gehele jaar verder door. Als onderdeel van de opdracht ontvangen klanten een volledig beheerde dienst waarin onder andere een speciaal toegewezen programmamanager, scoping diensten, programmamanagement en triage van kwetsbaarheden, melding van kwetsbaarheden, patch verificatie, vulnerability disclosure en gedetailleerde data analyses en rapportages onderdeel van uitmaken.
Om maximale test discipline te kunnen garanderen biedt Synack 365 actieve, SRT geleide tests en dekking gedurende 365 dagen per jaar, ondersteund door SmartScan. Synack 365 is de enige penetratietest oplossing die technologie en crowdsourced menselijke intelligentie met elkaar combineert. Een op een jaarlijkse subscriptie gebaseerde overeenkomst omvat een volledig beheerde dienst met reguliere compliance verificatie, een speciaal toegewezen programmamanager, scoping dienstverlening, programmamanagement, triage van kwetsbaarheden, notificatie van kwetsbaarheden, patch verificatie, vulnerability disclosure programma management en gedetailleerde data analyses en rapportages.
Neem voor meer informatie contact op met onze consultants via +31 (0) 345 506 105 of stuur een e-mail naar info@isoc24.com