Nadat we een penetratietest (of kortweg pentest) hebben uitgevoerd, leveren we het verslag met bevindingen en aanbevelingen op: het pentest rapport. Dit is het document waarmee de organisatie die de test onderging aan de slag kan gaan. Wat is een pentest en hoe ziet een rapport er uit? Dat lees je hier.
Doel van de pentest
Het uitvoeren van een pentest (en of dat nu een black-box, grey-box of white-box pentest is, dat maakt niet uit) heeft als doel kwetsbaarheden aan te tonen in bijvoorbeeld de software of het netwerk van een organisatie met de bedoeling deze na de pentest te verbeteren. De geteste organisatie krijgt in veel gevallen een lijst met bevindingen die gesorteerd zijn op het risico dat gelopen wordt als er niets mee gedaan wordt met daarbij een aanbeveling.
Echter, vaak zien we dat pentest rapportages erg technisch worden opgesteld. Voor een leek is het lastig om dan te ontcijferen wat nu eigenlijk echt het risico is dat de organisatie loopt. Dat is op zich niet erg wanneer alleen een IT’er naar het document kijkt. Echter, wanneer er meer mensen van verschillende afdelingen (management, ICT, development, etc.) “iets” met de gevonden bevindingen moeten is het goed een leesbaar en duidelijk rapport te hebben. Anders wordt er niets met de bevindingen gedaan en verdwijnt het rapport in de la.
Onze rapportages zien er daarom anders uit.
Hoe ziet ons pentest rapport eruit?
De pentesten die wij uitvoeren zijn altijd maatwerk. We luisteren naar de onze klant en voeren de test uit volgens afspraak. Logisch en overzichtelijk. Zo is het ook met de rapportages die we maken. We geven altijd een overzicht van de bevindingen. Wat hebben we gevonden en waarom vinden we dat we een bevinding zouden moeten classificeren als “Hoog”, “Laag” of “Kritiek”. Enkel een zogenaamde CVSS (Common Vulnerability Scoring System – kort gezegd , een scoring mechanisme waarbij kwetsbaarheden een bepaalde score toegewezen krijgen) vinden wij niet genoeg. Je moet immers als beslissingsmaker ook begrijpen wat en in het pentest rapport staat en de impact is als een bevinding niet opgelost wordt.
Wij leveren leesbare rapporten op
Naast het overzicht met bevindingen bespreken we de meest kritieke bevindingen in een managementsamenvatting. Dat doen we in begrijpelijke en leesbare taal met zo min mogelijk technisch jargon. Zo kan iedereen er ook echt iets van vinden zonder dat je een achtergrond in ICT hoeft te hebben of het systeem dat getest is door en door te kennen. Je weet dus direct waar je aan toe bent.
Wanneer kwetsbaarheden direct gevaar kunnen opleveren, nemen we direct contact op
Misschien ook goed om te weten: mochten we echt bijzonderheden tegenkomen tijdens het testen dan wachten we niet tot het uiteindelijk rapport met het melden hiervan. Dat doen we al tijdens het pentesten. Zo zijn er geen verrassingen die opgelost hadden moeten worden in het systeem dat we testen.
We voegen alle technische informatie toe aan het rapport
Natuurlijk gaan we in op de bevindingen. Die lichten we juist wél technisch toe. Dat is nodig, want zo weet een ontwikkelaar of een beheerder precies wat er van hem of haar wordt verwacht. De bevindingen die we doen beschrijven we, we geven een advies (hoe moet je het oplossen, wat is een best practice, etc.), beschrijven hoe we de bevinding hebben gedaan (evidence, oftewel het bewijs waar de kwetsbaarheid is gevonden) en tonen hoe dit door de ontwikkelaar of beheerder “nagespeeld” kan worden. Uiteraard vullen we dit aan met code, screenshots of een demo als dat nodig is.
Een duidelijke conclusie en aanbevelingen
Aan het einde van het rapport geven we ook een conclusie en aanbevelingen. Zaken die anders of verbeterd kunnen worden om de security van de organisatie naar een hoger niveau te tillen, nemen we mee. Zo ligt er een leesbaar, overzichtelijk rapport met voldoende inhoud dat leesbaar en begrijpelijk is voor verschillende afdelingen in de organisatie.
Een complete rapportage
Goed om te weten: alle ruwe feiten en data zijn eigendom van de opdrachtgever. Dus wanneer we een kwetsbare services aantonen, nemen we deze mee in de bevindingenlijst. Maar ook alle andere services en poorten nemen we mee in een overzicht. Zo krijgt de opdrachtgever echt een complete rapportage. Wat is een pentest en hoe ziet een rapport er uit? Je hebt het hier gelezen. Geïnteresseerd in een goede, degelijke pentest met een leesbaar rapport? Aarzel gewoon niet. Neem contact op.