Ga je binnenkort voor het eerst een Pentest laten uitvoeren? Goed bezig! Zo weet je precies waar de kwetsbaarheden zitten van de applicatie die je laat onderzoeken. Natuurlijk wil je goed zijn voorbereid voordat de Pentest start. Je vraagt je misschien af wat je als organisatie allemaal moet regelen. Laat je een Vulnerability Assessment door ons uitvoeren? Super, we zijn vereerd. We nemen je mee in het proces en vertellen je wat we van jullie nodig hebben.
Maar eerst...
De meeste mensen hebben het vaak over een Pentest, maar bedoelen eigenlijk een Vulnerability Assessment. Het precieze verschil tussen deze twee is een lang, en nogal saai, verhaal. Daar zullen we je dus ook niet mee vervelen. In de praktijk is onze dienst een Vulnerability Assessment, daarom geven we de voorkeur aan deze term. Maar, voel je vrij om hier Pentest te lezen.
De intake
Voordat we aan de slag gaan met het echte werk vindt een intake plaatst met de specialist die het onderzoek uitvoert. We bespreken het onderzoek van A tot Z. Dit legt de specialist vervolgens vast in een testplan. Zo weet je dus precies wat we allemaal gaan doen en welke benodigdheden we van jullie nodig hebben. Hebben we akkoord? Top. Dan gaan we aan de slag.
Dit hebben we van jullie nodig:
1. Een technisch en algemeen contactpersoon
Tijdens het testen willen we graag snel kunnen schakelen. Daarom stellen we vooraf vast wie bij jullie in de organisatie de technische en algemene contactpersoon is (dit kan ook dezelfde persoon zijn). We schakelen met de technische contactpersoon als we technische onduidelijkheden hebben over de werking van de applicatie. Stel dat we een API-call niet aan de gang krijgen, dan bellen we met de technische contactpersoon. De algemene contactpersoon komt in de picture als we vragen hebben over de scope of als we bijvoorbeeld tijdens het onderzoek een kwetsbaarheid willen melden die met spoed opgepakt moet worden. In principe werken we gewoon zelfstandig. De technische en algemene contactpersoon hoeven niet 24/7 hun agenda vrij te houden om ons te ondersteunen. Maar, het is wel handig als ze bereikbaar zijn.
2. De scope
Voordat de intake begint, is het handig om een beeld te hebben van de scope van het onderzoek. Laat ons weten welke domeinnamen en IP-adressen jullie willen laten testen. Komen we tijdens het onderzoek een IP-adres of domeinnaam tegen die niet binnen de afgestemde scope valt? Dan nemen we contact op, mogelijk heeft dit invloed op de doorlooptijd. Dus stemmen we dit graag even af.
3. Documentatie, implementatiedetails en gebruikersaccounts
We zijn er nog niet… We willen graag zo efficiënt mogelijk werken. Dus vragen we nog wat extra benodigdheden. Gaan we aan de gang met een API, dan is documentatie belangrijk. Daarnaast ontvangen we ook graag implementatiedetails (of broncode) en gebruikersaccounts. Deze accounts zijn belangrijk om de authenticatie- en autorisatieregels goed te kunnen testen. Zo testen we of we afgeschermde functionaliteiten ook kunnen aanroepen met een gebruikersaccount die dit eigenlijk helemaal niet zou moeten kunnen. En we testen of we met een account de gegevens kunnen inzien van een ander account. Om dit te kunnen onderzoeken vragen we vaak van alle type gebruikersrollen twee accounts.
4. Extra’s
Soms hebben we nog wat extra’s nodig. Bij het onderzoeken van een webwinkel vragen we bijvoorbeeld om een aantal cadeaubonnen. Niet om iets leuks voor onszelf uit te zoeken natuurlijk… We checken of we een cadeaubon meerdere keren kunnen gebruiken. Een mazzeltje voor een koper, maar wat minder fijn voor jouw organisatie. Daarnaast kan het zo zijn dat een applicatie niet extern toegankelijk is. Dan vragen we om een aanpassing in de firewall of toegang met een VPN.
5. Houd rekening met releases
We testen het liefste op een stabiele omgeving. Zo krijgen we namelijk een zo volledig mogelijk beeld. Staat er net een grote release van de applicatie op de planning? Dan wachten we liever even tot na die release. Je wilt namelijk niet dat de release invloed heeft op de testresultaten.
6. Niet te vergeten: toestemming
We moeten het ook nog even over de juridische kant van ons vak hebben. Niks ernstigs, maar wel belangrijk om goed te regelen. Juridisch gezien valt ons werkt onder de wet computervredebreuk. We proberen namelijk kwetsbaarheden te vinden in jullie applicatie. Eén van de dingen die daarom geregeld moeten worden, is toestemming van alle betrokken partijen. De toestemming met jullie als opdrachtgever is met het akkoord op het testplan gegeven. Maar ga ook na of er nog derde partijen betrokken zijn bij een onderzoek. Denk hierbij aan de hostingprovider of SaaS-leveranciers. Het is belangrijk dat ons onderzoek bekend is bij deze partijen en dat deze ook toestemming geven.
Alles op een rij
Alle benodigdheden staan duidelijk uitgeschreven in ons testplan. Hierin komt in ieder geval terug: contactgegevens van de technische en algemene contactpersoon, scope-informatie, gebruikersaccounts, documentatie en vrijwaring van derde partijen.
Nu weet je precies wat er van je verwacht wordt als je door Computest Security een Vulnerability Assessment laat uitvoeren.
Lees ook onze andere blogs over de Pentest:
