Op linkedin schreef ik een bericht over Pentesten versus Scans.
https://www.linkedin.com/embed/feed/update/urn:li:share:7283788425789419520
Hier kreeg ik best wat vragen over
“Hoe weet ik wat voor test ik eigenlijk krijg?”
“Wie kan ik hiervoor vragen?” (hoe weet ik dat degene die de test uitvoert een pentester is?)
Deze vragen zijn logisch, want de term “pentest” wordt vaak verkeerd gebruikt of zelfs misbruikt zoals ik al vertelde. Daarom wil ik vandaag verder ingaan op hoe je kunt beoordelen of je een goede pentest koopt en wat je daarbij kunt verwachten. Zoals je al kon lezen in mijn vorige bericht is een pentest een gecontroleerde simulatie van een aanval op je IT-systemen. Het doel? Niet alleen kwetsbaarheden vinden, maar ook inzicht geven in de impact ervan. Het gaat dus verder dan een vulnerability scan, die puur geautomatiseerd kwetsbaarheden identificeert.
Duidelijke scope en afspraken: we leggen alles vast. We doen dat in een zogenaamde waiver. Zo weten beide partijen wat er getest wordt en wanneer.
We maken gebruik van bewezen methodieken: OWASP, PTES, etc. Meer weten? Daar ga ik het later eens over hebben.
Gebruik van bewezen methodieken
Een rapportage met inzichten die helder zijn. Je krijgt een overzichtelijk rapport waarin uitgelegd welke bevindingen er zijn gedaan en waarom deze kwetsbaar zijn voor je omgeving. We leggen uit welke risico’s er zijn, de impact die dit heeft en we geven advies hoe je de problemen kunt oplossen. Gewoon helder.
Wat kun je verWachten tijdens een goede pentest?
Verder is het belangrijk te weten wat voor soort test je wilt. Kort door de bocht kennen we drie soorten testen: black box, grey box en white box. Bij black box testen heeft de tester geen interne kennis van het systeem. Het is vergelijkbaar met een kwaadwillende aanvaller die moet leren hoe het systeem eruit ziet en met deze informatie probeert in te breken.
Grey box testen combineert beperkte interne kennis, zoals inloggegevens of netwerkarchitectuur, om gerichter kwetsbaarheden te ontdekken. Je gaat uit van een zogenaamd “breached scenario”, een simulatie waarbij de aanvaller al in het systeem zit en eigenlijk meer kennis wil verkrijgen of hogere rechten wil bemachtigen.
Bij white box testen heeft de tester volledige toegang tot interne informatie, zoals broncode, configuraties en architectuurdocumenten. De keuze tussen deze methoden hangt af van de testdoelen en het gewenste inzicht in beveiligingsrisico’s.
Dan nog de vraag: hoe weet je nu of je met de juist partij in zee gaat?
De expertise van de tester is uiteraard belangrijk. Een goede pentester denkt als een aanvaller, maar werkt gecontroleerd en professioneel. Controleer of de partij die je inschakelt aantoonbare ervaring heeft, bijvoorbeeld door certificeringen (OSCP, PNPT, eCPPT, eWPTx etc.). Je kunt ook vragen naar een track-record: waaruit blijkt dat deze partij deze test uit kan voeren? En dan nog een laaste: vraag een voorbeelrapportage.
Als je zeker wilt weten dat je een echte pentest krijgt en geen simpele vulnerability scan, vraag dan altijd door:
Welke methodieken worden gebruikt?
Wordt er handmatig getest of alleen met geautomatiseerde tools?
Krijg je een rapportage met advies en actiepunten?
Welke ervaring heeft de tester?
Heb je vragen of twijfel je over de juiste aanpak?
Ik help je graag bij het maken van de juiste keuze en kan uitleggen hoe wij te werk gaan bij het uitvoeren van pentesten.