- Waarop wordt gescand bij het scannen van het bedrijfsnetwerk?

Bij het uitvoeren van een scan op het bedrijfsnetwerk zullen onder andere de poorten van de firewall worden gecontroleerd. Alle kwetsbaarheden die vervolgens gevonden kunnen worden in achterliggende systemen zullen worden gerapporteerd. Hierbij valt te denken aan problemen met SSL certificaten, open poorten op de firewall die niet open horen te staan, verouderde operating systems etc.
Bij het uitvoeren van een scan op de website wordt gecontroleerd op onder andere de OWASP top 10. Er wordt alleen gescand op de poorten 80 en 443; de infrastructuur wordt dus niet in de scan meegenomen. Er wordt een scan op de website uitgevoerd die 3 pagina's 'diep' gaat. Deze 'diepte' staat niet gelijk aan het aantal pagina's dat wordt gescand; dat is - binnen grenzen - onbeperkt. Deze 'diepte' staat voor het aantal links dat vanaf de eerste webpagina 'gevolgd' wordt door onze scanners tijdens het uitvoeren van een scan. De kwetsbaarheden die worden gevonden bestaan uit kwetsbaarheden op SQL injecties, Cross-site scripting (XSS), Cross-site Request Forgery (CSRF), SSL certificaten etc.

Alleen het bedrijfsnetwerk en/of de website zal worden gescand. Dit doen we vanaf het internet. Alleen die componenten die vanaf het internet zichtbaar zijn zullen worden gescand. Over het algemeen zijn uw PC's niet direct met het internet verbonden, waardoor deze niet in de scan worden meegenomen.
Onze servers bevinden zich in Nederland en Duitsland. De IP adressen zijn 78.46.19.149 en 5.9.17.13. Alle data die we verzamelen worden opgeslagen in zwaar beveiligde servers in Nederland. Onze volledige infrastructuur en oplossing is recentelijk gecontroleerd door TNO.
Onze scanners sturen aanvragen naar uw website of bedrijfsnetwerk. De reactie op deze aanvragen worden weer uitgelezen en aan de hand daarvan weten onze scanners in hoeverre uw website of bedrijfsnetwerk kwetsbaar is voor bekende kwetsbaarheden. Alle kwetsbaarheden die worden gevonden zullen ook worden gerapporteerd.
Alle informatie over kwetsbaarheden die we met een scan kunnen verzamelen zal gerapporteerd worden. Dit betekent echter niet dat bijvoorbeeld bedrijfsdata etc. zal worden verzameld. Wel kan er bijvoorbeeld data worden verzameld over (de versies van) operating systems, website-plugins of applicaties die worden gebruikt indien deze gevonden kan worden. Ook source code van applicaties of websites zal niet worden verzameld. Wel zal melding worden gemaakt als dit soort data vanaf het internet benaderbaar is.
Na het ingeven van de URL van uw website en eventueel het gedetecteerde IP adres van uw bedrijfsnetwerk zal als eerste een controle worden uitgevoerd (validatie) via E-mail om te verifieren dat de opgeven URL ook aan u toebehoort. Pas na validatie worden de eerste scans opgestart. U kunt dus zelf het tijdstip van opstarten van de eerste scans `sturen` door pas op de validatielink te klikken op een moment dat u wilt dat de scans gaan draaien. Het is niet mogelijk om een datum/tijd op te geven wanneer de scan gestart moet worden.
Een scan duurt - afhankelijk van de complexiteit van een bedrijfsnetwerk of website - tussen 15 minuten en 24 uur. In uitzonderlijke situaties (uw website reageert bijvoorbeeld heel erg traag) kan het langer duren. Gemiddeld duurt een scan zo'n 4 uur.

De reden dat de scan lang kan duren ligt in het feit dat onze scanners zo 'stil' mogelijk werken. Als ze veel aanvragen naar uw website of bedrijfsnetwerk sturen verhogen we immers de kans op dat uw firewall of Intrusion Detection systeem onze scans voortijdig afbreekt waardoor u geen volledig resultaat krijgt. Gemiddeld sturen wij zo'n 15 aanvragen per seconde uit naar uw website of bedrijfsnetwerk.
Ja, het is mogelijk om ook dan een scan uit te voeren, maar hou er rekening mee dat u dan wellicht de omgeving van uw dienstverlener controleert op kwetsbaarheden. Ons advies is dan ook om vooraf met uw netwerkbeheerder af te stemmen wat u exact zou willen controleren op kwetsbaarheden (lokale omgeving of de omgeving van uw dienstverlener) en hoe dit ingeregeld kan worden. Er zijn meerdere manieren waarop de netwerk infrastructuur in een Server Based Computing kan zijn opgezet en dus is afstemming hierover belangrijk.
Ja, we controleren alleen het web-gedeelte, d.w.z. poort 80 en 443. In de scan op de website zal de onderliggende infrastructuur niet in de scan worden meegenomen, juist omdat veel websites zijn gehost op een gedeeld platform.
Nee, de scan zal geen nadelige invloed op google analytics hebben.
Wij kunnen dan ook scannen. Wel is de kans groter dat uw systemen onze scan voortijdig afbreken. In principe is dit gewenst gedrag van uw firewall of IDP systeem. In die gevallen zal dit netjes gerapporteerd worden. Om in die gevallen toch te kunnen kijken of er kwetsbaarheden op de omgeving zijn, verzoeken wij om onze IP adressen (78.46.19.149 en 5.9.17.13) op de zogenaamde white-list te laten plaatsen en vervolgens een nieuwe scan op te starten om zodoende toch te kunnen kijken of we kwetsbaarheden kunnen vinden. Uiteraard kunnen onze IP adressen na het uitvoeren van de scan weer van de white-list worden verwijderd.
Het openzetten van poorten op de firewall (evt. voor bepaalde IP adressen) en het whitelisten van de IP adressen van onze scanners zijn 2 verschillende dingen. Bij een webscan controleren we de webpagina`s die zich achter poort 80 en 443 bevinden. Bij een infra scan controleren we alle poorten op kwetsbaarheden.
Het is NIET de bedoeling dat poorten worden opengezet voordat de scan wordt uitgevoerd. Wel moeten onze IP nummers (78.46.19.149 en 5.9.17.13) op de whitelist van de firewall worden gezet, zodat scans niet voortijdig worden afgebroken door geavanceerde Intrusion Detection systemen.
Dit kan, echter bieden we hiervoor een ander product. ThreadScan is speciaal ontwikkeld voor IT-resellers of IT-afdelingen. ThreadScan wordt geleverd in een abonnementsvorm, waarbij u de vrijheid krijgt om de frequentie, diepte van scannen en het type abonnement te kiezen en daarnaast kunt u bijvoorbeeld in samenwerking met uw IT-partner andere IP-adressen controleren. Alle abonnementen, scan-uitkomsten en kwetsbaarheden zijn daarbij te beheren middels een duidelijke portal, waarbij u ondersteuning kunt ontvangen van uw IT-partner. Vraag uw IT-partner naar de voorwaarden of vraag een pakket aan om Reseller te worden.
Wij hebben (uiteraard) online beveiliging hoog in het vaandel staan. Het zelf kunnen invoeren van IP-adressen werkt misbruik in de hand. Op dit moment kunnen alleen onze gekwalificeerde Resellers ervoor zorgen dat er vrije IP-adressen ingevoerd kunnen worden.
Ja, dit kan. Hou er wel rekening mee dat voor elke website of IP-adres dat gescand wordt extra kosten worden gerekend middels de afboeking van credits of het factureren van de rapportages.
Om misbruik te voorkomen, kan maar 1x het aanmeldproces worden doorlopen waarbij een website wordt gecontroleerd. Wij controleren op E-mail adressen (accounts) die al gebruikt worden en we controleren op URL`s en IP-nummers die al een keer zijn aangemeld. Het is niet mogelijk om een E-mail adres, URL of IP-nummer waarmee is aangemeld nog een keer te gebruiken.

Bij het opvoeren van een extra website of bedrijfsnetwerk vanuit het dashboard is het wél mogelijk om een website welke al gecontroleerd wordt nogmaals te controleren. Hiervoor kunt u gewoon een extra website opvoeren die u wilt laten controleren. Vervolgens zal wel eerst gevalideerd worden of de website die u heeft opgevoerd ook toebehoort aan een rechtmatige eigenaar (de scan wordt pas opgestart na validatie).
Onze scan zal - geautomatiseerd - proberen om op de firewall te kijken welke diensten vanaf de ingegeven URL of het ingegeven IP-adres worden aangeboden. Daarbij zal gekeken worden of er kwetsbaarheden in die diensten ontdekt kunnen worden. Over het algemeen zullen er wat meer verzoeken vanaf onze scanners naar een website of bedrijfsnetwerk worden uitgevoerd dan bij regulier gebruik van de website of het bedrijfsnetwerk. De verzoeken die we doen kunnen door een Intrusion Detection Systeem (IDS) of wat meer geavanceerde firewall worden ontdekt, waarna deze ons afsluit voor het verder uitvoeren van onze scan. Het resultaat van een scan zal in een dergelijk geval zijn dat we rapporteren dat een firewall/IDS de scan voortijdig heeft afgebroken.

Zonder onze IP nummers te whitelisten kan u dus wel gewoon een scan uitvoeren en komt u vervolgens te weten dat uw IDS/firewall het eerste deel van zijn werk dus goed doet (het afkappen van scan die op uw bedrijfsnetwerk of website worden uitgevoerd).

Waarom zou ik dan toch moeten whitelisten?
Indien een `kwaadwillende` zich toegang wil verschaffen tot een omgeving, dan kan hij ook starten met het uitvoeren van een vulnerability scan. Het resultaat zal als boven zijn. Daarna echter kan een kwaadwillende op veelgebruikte poorten (20, 25, 80 etc.) handmatig gaan kijken of er kwetsbaarheden gevonden kunnen worden. Doordat niet bekend is of zich hier kwetsbaarheden bevinden, ligt daar juist een risico. De `first-line of defence` kan met een IDS/firewall prima zijn opgezet (daarmee wordt een belangrijk deel van kwaadwillenden die zoeken naar laaghangend fruit middels geautomatiseerde vulnerability scans al redelijk afgewimpeld). Voor veel organisaties begint het werk daar echter pas, want juist bij voor kwaadwillenden interessante organisaties zullen ze meer moeite willen doen om binnen te komen. Zélf weten welke kwetsbaarheden er dan zijn lijkt ons daarom essentieel en juist daarvoor is de whitelisting nodig.

Hoe zet ik de IP-nummers op de whitelist van mijn firewall?
Vraag in het geval van een scan op uw bedrijfsnetwerk bij uw netwerkbeheerder of hij onze IP-nummers (78.46.19.149 en 5.9.17.13) op de whitelist wil plaatsen.
In het geval dat de scan op uw website is afgebroken, dient u bij uw hosting partij te vragen of hij onze IP-nummers op de whitelist wil plaatsen.

Hou er rekening mee dat er door deze partijen kosten in rekening kunnen worden gebracht.

Indien u een firewall gebruikt van uw internet service provider, zoals KPN, Telfort, Ziggo, XS4All, Vodafone etc. dan is de functionaliteit van het IDP systeem veelal standaard ingesteld. Helaas is het in veel gevallen zo dat deze instellingen niet gewijzigd kunnen worden.