Ethische hacker

Ethische hackers

Ethische hackers gaan geen wonderen verrichten, simpelweg omdat cyber security niet zo simpel is. Een ethische hacker kan je wel vooruit helpen met zijn/haar specialisme. Ethische hackers zijn dagelijks bezig met het onderzoeken en uitvoeren van mogelijke aanvalsmogelijkheden op (bestaande) lekken. 

Meer dan een computer-specialist

Een ethische hacker is meer dan een computer-specialist, het zijn specialisten, op meerdere vakgebieden, hier komt ook het menselijke aspect bij kijken. Een ethische hacker is breed inzetbaar, het is daarom dan ook belangrijk om een goed beeld te hebben van wat voor soort ethische hacker je nodig hebt. Ga met meerdere partijen in gesprek, en onderzoek of ze ervaring hebben met de casus, en of ze gespecialiseerd zijn op het gebied van aandacht. 

Verschil tussen een ethische hacker en een cybercrimineel

Het is belangrijk om te begrijpen dat een ‘hacker’, geen cybercrimineel is. Een hacker is iemand die zich graag bezig houdt met het uitvogelen van nieuwe methodes en mogelijkheden.  Een hacker is meestal ook bekend met diverse systemen, methodes, formules, software, programmeertalen . Het verschil tussen de twee ontstaat in het gebruik van de kennis. 

Een ethische hacker zal zijn/haar kennis op een legale manier inzetten, er worden vooraf afspraken gemaakt, en de afspraken worden ook op papier vastgelegd. Dit is vanwege aansprakelijkheid en legale kwesties. Een cybercrimineel geeft hier geen gehoor aan. Een cybercrimineel wilt winst maken, dit kan intellectuele winst zijn, of Financiële winst. Er zijn uitzonderingen; cybercriminelen kunnen het ook doen voor persoonlijke genot.

Een ethische hacker inhuren

Het is mogelijk om een ethische hacker in te huren. De prijzen kunnen besproken worden, en vaak zal je verbaast zijn door wat er allemaal mogelijk is. 

Een ethische hacker vindt je via een cyber security bedrijf. Het zijn namelijk de bedrijven die de toolings, kennis en de legale kwesties kunnen waarborgen. Je hebt ook ethische hackers die als ZZP’er geregistreerd staan, je kan er ook voor kiezen om zaken te doen met een eenmanszaak. 

Op het moment dat je zaken gaat doen met een cybersecurity bedrijf of een ethische hacker, is het raadzaam om gebruik te maken van een NDA. Zorg er ook voor dat je alle afspraken op papier hebt gedocumenteerd. 

Ethische hackers in het nieuws

ZeroLogon

Een Nederlands security bedrijf heeft een kwetsbaarheid publiek gemaakt, het werd wereldnieuws en tot op heden wordt de kwetsbaarheid misbruikt. De ethische hackers hebben natuurlijk wel aangetoond hoe je jezelf hiertegen kan beschermen. Dat is mooi werk. 

Lektober

Laten we Lektober niet vergeten. Dit was een geweldige actie, opgezet door een ethische hacker. De ethische hacker ging op onderzoek uit, en teste meerdere Nederlandse gemeentes en websites op kwetsbaarheden. Het werd nationaal nieuws in 2011. 

Wat je moet weten over Ethische hackers

Ethische hackers doen hun best, het zijn professionals, ze werken doelgericht, stellen vragen en het belangrijkste is dat ze natuurlijk legaal te werk willen gaan. Cyber security bedrijven zijn meestal kritisch wanneer ze een pentester of ethische hacker in dienst gaan nemen. Er wordt vaak gevraagd om ‘hands-on’ kennis; de ethische hacker moet ter plekke zijn/haar kennis aantonen en eventueel demonstreren. 

Ethische hackers en security bedrijven maken gebruik van betaalde toolings, de toolings zijn meestal prijzig. Een goedkope hacker is dan ook vaak moeilijk te vinden, het is dan namelijk moeilijk voor de hacker om de licentie kosten van de toolings te betalen. Een goede ethische hacker is niet afhankelijk van toolings, maar het is wel logisch dat een professionele hacker betaalde tools gebruikt.

Pentest kosten

Er zijn diverse factoren die meespelen in de prijs van een penetratie test, hetzelfde geld voor wanneer je een ethische hacker wilt inhuren. Om een beeld te krijgen van de kosten, hebben wij een tabel gemaakt van de gemiddelde pentest kosten. Let wel op, elk bedrijf hanteert natuurlijk zijn eigen prijs, en ze hebben daar hun redenen voor. Bespreek altijd de prijs, en kijk of je daadwerkelijk kwaliteit krijgt voor je geld. 

Eenmanszaak

Je hebt een bedrijf, maar je doet bijna alles zelf. Je wilt een duidelijke beeld krijgen over de security status van je bedrijf, en je wilt het in normale taal uitgelegd krijgen. Herken jij jezelf hierin? Dan hebben wij voor jou een indicatie van de mogelijke pentest kosten.

Type Kosten Hoe Duidelijke taal
Security scan < 1000 euro Geautomatiseerde scan Nee
Pentest < 2500 euro Handmatige scan en test op kwetsbaarheden Ja
TypeKostenHoeDuidelijke taal
Security scan> 750 euroGeautomatiseerde scanJa
Pentest> 2500 euroHandmatige scan en test op kwetsbaarhedenJa

MKB en groter

Security bedrijven richten zich voornamelijk op het MKB en Enterprise omgevingen. 

Je kan er dus vanuit gaan dat er veel concurrentie is, en dat houdt dus in dat de prijzen scherp moeten zijn.

Stel de volgende vragen als je een ethische hacker gaat inhuren

Wij hebben voor jou een aantal vragen op een rij gezet. Gebruik de vragen tijdens je gesprek met de mogelijke ethische hacker of security bedrijf. De vragen helpen je om een goed beeld te krijgen.

Benodigde tijd: 5 minuten.

Stel de volgende vragen, en noteer de antwoorden. Doe hetzelfde bij 3 diverse security bedrijven, kies dan vervolgens met welke security bedrijf je op tweede gesprek gaat.

  1. Hoeveel tijd gaat de ethische hacker nodig hebben?

    Zorg dat je een beeld krijgt van het aantal uren dat nodig is voor het werk.

  2. Heeft de ethische hacker dit vaker gedaan?

    Als een ethische hacker ervaring heeft met soortgelijke klussen, dan kan je ervan uitgaan dat de levertijd eventueel ook sneller zal zijn dan bij een partij die hier geen ervaring in heeft.

  3. Heeft de ethische hacker een VOG verklaring?

    Een Verklaring Omtrent Gedrag is zo aangevraagd.

  4. Hoeveel procent van het werk is geautomatiseerd?

    Je hoeft niet perse de tools te kennen, je wilt wel weten of het meeste werk geautomatiseerd is of niet.

  5. Maakt de ethische hacker een rapport op?

    Vraag of je rapporten krijgt, en wat er dan bijvoorbeeld in de rapporten kan staan. Vraag voor demo-rapporten om een goed beeld te krijgen.

  6. Krijg ik advies voor gevonden problemen?

    Controleer of ze je ook gaan adviseren. Het moet niet zo zijn dat je een rapport krijgt, en dat je dan de rest lekker zelf mag uitzoeken. Wees kritisch.

  7. Gaat de ethische hacker mijn problemen oplossen?

    Het vinden van problemen is één, maar je wilt ook weten of de ethische hacker je problemen gaat oplossen. Vaak is dit een extra dienst die je kan afnemen. Wees hiervan bewust.

  8. Waar wordt de ethische hack uitgevoerd?

    Je wilt weten waar de hack wordt uitgevoerd. Ik vindt het bijvoorbeeld belangrijk dat ik de ethische hacker in het echt kan ontmoeten (indien nodig), daarom maak ik ook het liefst gebruik van *Nederlandse security bedrijven en ethical hackers
    (*Dit is dus niet op basis van nationaliteit, maar op basis van fysieke aanwezigheid in Nederland).

  9. Op welke tijdstip wordt de ethische hack uitgevoerd?

    Je wilt weten wanneer en hoe de ethische hack uitgevoerd gaat worden. Je kan hierdoor extra stappen nemen in je eigen omgeving. Je kan er bijvoorbeeld voor kiezen om je team niet op de hoogte te stellen van de ethische hack.

  10. Gaan de bevindingen gebruikt worden in een publiciteit stunt of marketing event?

    Vraag of ze jouw bedrijfsnaam ergens gaan gebruiken. Indien je dit oké vindt is dat natuurlijk een mooie kans om wat aan de kosten te doen. Het is een simpele vraag, en je zou een simpele antwoord terug moeten krijgen.