Ga naar content
Zoek op onderwerpen, blogs, diensten etc.

Tijd voor een Pentest! Aan wie vertrouw jij deze taak toe?

Wanneer je een organisatie inhuurt om een applicatie voor je te ontwikkelen, verwacht je dat deze aan een bepaald beveiligingsniveau voldoet. Nu hackers constant manieren zoeken om IT-omgevingen van bedrijven binnen te dringen, kan je geen poortjes open laten staan in een applicatie. Een Pentest is dan ook geen overbodige luxe. Maar door wie kan je die nu het best laten uitvoeren?

Laat jij de slager een vleeskeuring doen?

Misschien lijkt het in eerste instantie handig om de Pentest uit te besteden aan je applicatieontwikkelaar. Zo denk je twee vliegen in één klap te slaan. Het is echter de vraag of deze partij volledige transparantie zal bieden. Als zij zwakke punten detecteert, in hoeverre zal ze deze dan met jou delen? Bedenk dat er een reden is dat de slager zijn eigen vlees niet keurt. Er is sprake van conflicterende belangen.

Schakel je een externe partij in, dan speelt dit probleem niet. Deze kan 100% eerlijk tegen je zijn. En dát heb je nodig wanneer het om security gaat.

Vóór de Pentest: beslissingen nemen

Voordat je een Pentest laat uitvoeren, moet je over een aantal aspecten nadenken. Allereerst is het essentieel dat je de scope en het doel van de Pentest heel duidelijk definieert. Vervolgens kan je — in overleg met de externe partij — de stijl bepalen. Over het algemeen zijn er drie mogelijkheden:

1.    Je geeft alleen je IP-adres en bekijkt of ethische hackers kunnen binnendringen.
2.    Je laat ethische hackers vanuit een gelimiteerd gebruikersaccount met weinig rechten proberen om kwetsbaarheden in het systeem te vinden.
3.    Ethische hackers krijgen vooraf alle informatie en gebruikersrechten over de omgeving en gaan van daaruit gericht op zoek naar kwetsbaarheden.

Voor welke optie je ook kiest, bedenkt dat er spelregels zijn! Een ethische hacker werkt op basis van 'rules of engagement', die staan vastgelegd in een document. Als je dit ondertekent, geef je toestemming om de hack uit te voeren op basis van bepaalde voorwaarden.

Ná de Pentest: hiaten dichten en (blijven) evalueren

Laat je een Pentest uitvoeren door een externe partij, dan maakt deze vaak een rapport op waarin de resultaten van de Pentest staan. Deze kan je samen doorspreken om te bepalen waar kritieke hiaten liggen die je het liefst direct kan dichten. Wortell werkt bijvoorbeeld met een classificatiesysteem, zodat je makkelijk kan zien welke kwetsbaarheden prioriteit hebben.

Nadat je de nodige actie hebt ondernomen, is het slim om naar de toekomst te kijken. Wil je van tijd tot tijd inchecken met de externe partij om de voortgang te bespreken? En wanneer is het tijd voor de volgende Pentest?

Het is belangrijk om te beseffen dat een Pentest een momentopname is. Hackers staan niet stil — en je applicatie ook niet. Een update kan een wereld van verschil maken in positieve én negatieve zin. Daarom is het handig om periodiek (bijvoorbeeld één keer per kwartaal) een Pentest te laten uitvoeren. Welke frequentie voor jou goed is, kan je bespreken met de externe partij.
 

Meer weten over de gedegen manier waarop Wortell een Pentest uitvoert?

Download de brochure

Meer over MDR (Managed Detection and Response)

Blogpost / 27-8-2021

SOC of MDR: waarvoor moet je kiezen als onderwijsinstelling?

Onderwijsinstellingen zijn steeds vaker het doelwit van hackers. De educatieve sector ligt er wakker van. Logisch, want je wilt niet dat de data van s...
Blogpost / 7-7-2021

Het eerste Nationale Cybersecurity Debat: Cybersecurity trends, een pittig debat en oplossingen voor jouw veiligheid

De Nationaal Coördinator Terrorismebestrijding en Veiligheid noemt gijzelsoftware een risico voor de nationale veiligheid. Dagelijks leggen cyber...
Blogpost / 11-6-2021

Kan je Android-apps nog wel vertrouwen?

Inmiddels heb je er waarschijnlijk al over gehoord: de beruchte sms met de vraag of je je pakket wilt volgen. Hoe zit het precies met deze gevaar...
Wortell OT security managed detection and response
Blogpost / 12-3-2021

Waarom cybersecurity zich niet alleen op IT, maar ook op OT moet richten

Veel organisaties binnen de industrie kopen machines zonder inzicht te hebben in cybersecurity. Dit kan ze heel duur komen te staan. 
Blogpost / 24-2-2021

Je organisatie beschermen tegen hackers: het belang van de human factor

Je hebt alle benodigde technologie aangeschaft om je organisatie te beschermen tegen hackers. Met zulke geavanceerde middelen voel je je helemaal veil...
Blogpost / 12-1-2021

Waarom de CISO een aparte rol moet hebben binnen élke moderne organisatie

Waarom de CISO van toegevoegde waarde is voor elke organisatie op gebied van security. 
Blogpost / 7-12-2020

Wortell biedt 24.7 cybersecurity bewaking voor industriële omgevingen op basis van Microsoft Azure

Als eerste Europese Microsoft partner biedt Wortell vanaf heden 24.7 bewaking en beveiliging van cyber dreigingen in industriële omgevingen op ba...
Blogpost / 20-4-2020

Thuiswerken vergroot beveiligingsrisico’s: aantal kraakpogingen verdubbeld

Juist nu is extra oog voor security belangrijk.
Blogpost / 4-9-2019

Wortell start een nieuwe securitydivisie!

Voor ons staat veiligheid áltijd voorop. Of we nu data- en AI-omgevingen bouwen of een Azure-omgeving neerzetten, we vinden dat dit op een zo v...
Vacature

Ethical Hacker (Pentester)

Jij gaat de systemen van onze klanten onderzoeken met het doel kwetsbaarheden te vinden.