Ga naar content
Zoek op onderwerpen, blogs, diensten etc.
Secure. Blogs Tijd voor een Pentest! Aan wie vertrouw jij deze taak toe?

Tijd voor een Pentest! Aan wie vertrouw jij deze taak toe?

Blogs Martijn Mandos
8-10-2021

Wanneer je een organisatie inhuurt om een applicatie voor je te ontwikkelen, verwacht je dat deze aan een bepaald beveiligingsniveau voldoet. Nu hackers constant manieren zoeken om IT-omgevingen van bedrijven binnen te dringen, kan je geen poortjes open laten staan in een applicatie. Een Pentest is dan ook geen overbodige luxe. Maar door wie kan je die nu het best laten uitvoeren?

Laat jij de slager een vleeskeuring doen?

Misschien lijkt het in eerste instantie handig om de Pentest uit te besteden aan je applicatieontwikkelaar. Zo denk je twee vliegen in één klap te slaan. Het is echter de vraag of deze partij volledige transparantie zal bieden. Als zij zwakke punten detecteert, in hoeverre zal ze deze dan met jou delen? Bedenk dat er een reden is dat de slager zijn eigen vlees niet keurt. Er is sprake van conflicterende belangen.

Schakel je een externe partij in, dan speelt dit probleem niet. Deze kan 100% eerlijk tegen je zijn. En dát heb je nodig wanneer het om security gaat.

Vóór de Pentest: beslissingen nemen

Voordat je een Pentest laat uitvoeren, moet je over een aantal aspecten nadenken. Allereerst is het essentieel dat je de scope en het doel van de Pentest heel duidelijk definieert. Vervolgens kan je — in overleg met de externe partij — de stijl bepalen. Over het algemeen zijn er drie mogelijkheden:

1.    Je geeft alleen je IP-adres en bekijkt of ethische hackers kunnen binnendringen.
2.    Je laat ethische hackers vanuit een gelimiteerd gebruikersaccount met weinig rechten proberen om kwetsbaarheden in het systeem te vinden.
3.    Ethische hackers krijgen vooraf alle informatie en gebruikersrechten over de omgeving en gaan van daaruit gericht op zoek naar kwetsbaarheden.

Voor welke optie je ook kiest, bedenkt dat er spelregels zijn! Een ethische hacker werkt op basis van 'rules of engagement', die staan vastgelegd in een document. Als je dit ondertekent, geef je toestemming om de hack uit te voeren op basis van bepaalde voorwaarden.

Ná de Pentest: hiaten dichten en (blijven) evalueren

Laat je een Pentest uitvoeren door een externe partij, dan maakt deze vaak een rapport op waarin de resultaten van de Pentest staan. Deze kan je samen doorspreken om te bepalen waar kritieke hiaten liggen die je het liefst direct kan dichten. Wortell werkt bijvoorbeeld met een classificatiesysteem, zodat je makkelijk kan zien welke kwetsbaarheden prioriteit hebben.

Nadat je de nodige actie hebt ondernomen, is het slim om naar de toekomst te kijken. Wil je van tijd tot tijd inchecken met de externe partij om de voortgang te bespreken? En wanneer is het tijd voor de volgende Pentest?

Het is belangrijk om te beseffen dat een Pentest een momentopname is. Hackers staan niet stil — en je applicatie ook niet. Een update kan een wereld van verschil maken in positieve én negatieve zin. Daarom is het handig om periodiek (bijvoorbeeld één keer per kwartaal) een Pentest te laten uitvoeren. Welke frequentie voor jou goed is, kan je bespreken met de externe partij.
 

Meer weten over de gedegen manier waarop Wortell een Pentest uitvoert?

Download de brochure

Brochure over pentest