Overweeg je om binnenkort een Pentest te laten uitvoeren? Dan speelt er waarschijnlijk een belangrijke vraag. Namelijk: welk inzicht geeft dit mij? Logisch dat je je dat afvraagt. Na dit blog weet je wat een Pentest jou oplevert.
Maar eerst...
De meeste mensen hebben het vaak over een Pentest, maar bedoelen eigenlijk een Vulnerability Assessment. Het precieze verschil tussen deze twee is een lang, en nogal saai, verhaal. Daar zullen we je dus ook niet mee vervelen. In de praktijk is onze dienst een Vulnerability Assessment, daarom geven we de voorkeur aan deze term. Maar, voel je vrij om hier Pentest te lezen.
Wat onderzoeken we met een Vulnerability Assessment?
Met een Vulnerability Assessment gaan we niet zomaar alles onderzoeken. We stellen dit vooraf vast met een scope. Het kan bijvoorbeeld zijn dat we aan de slag gaan met een webapplicatie, mobiele app of IoT-apparaat. We bespreken op welke brandende securityvragen je een antwoord wilt. Dit zouden de securityvragen voor een webwinkel kunnen zijn:
- Is het mogelijk voor een aanvaller om klantgegevens in te zien?
- Is het mogelijk om een bestelling te plaatsen zonder te betalen?
Tijdens het onderzoek keren we alles binnen de scope van binnen naar buiten. Dat betekent dat we op alle locaties van de scope op zoek gaan naar kwetsbaarheden. Hebben we een kwetsbaarheid gevonden? Dan gebruiken we deze niet om verder het systeem binnen te dringen. Wat we wel doen? We gaan verder op zoek naar andere kwetsbaarheden. We stoppen pas als we de volledige scope hebben onderzocht. Dit is een handmatig proces, omdat hiermee nauwkeurigere resultaten worden behaald dan een geautomatiseerde scan.
Hoe maken jullie de resultaten van de test inzichtelijk?
Na de test maakt de specialist een rapportage. Praktisch en overzichtelijk. Houden we van. In de rapportage beschrijven we alle kwetsbaarheden die we hebben onderzocht. Er zijn twee mogelijke uitkomsten:
- We hebben op een specifieke kwetsbaarheid getest, maar deze is niet aangetroffen in de scope. Dan weet je dus dat het goed zit.
- We hebben op een specifieke kwetsbaarheid getest, en deze aangetroffen binnen de scope. In dat geval beschrijven we:
a. Waar de kwetsbaarheid zit. Dat kan op meerdere plekken zijn.
b. Wat een aanvaller kan met deze kwetsbaarheid.
c. Hoe je deze kwetsbaarheid het beste kan oplossen.
d. Een score op basis van het CVSS-scoringssysteem. Dan weet je meteen hoe ernstig een kwetsbaarheid is.
Super overzichtelijk.
In het rapport komen we natuurlijk ook terug op de vooraf gestelde securityvragen.
Op de vraag of het voor een aanvaller mogelijk is om klantgegevens te bekijken, zou een mogelijk antwoord zijn: het is mogelijk om klantgegevens in te zien, als een aanvaller kwetsbaarheid X en Y combineert.
Tot slot nemen we in het rapport ook een managementsamenvatting en conclusie op. Deze geven een totaalbeeld van het type kwetsbaarheden die aangetroffen zijn in de scope. Hierin geven we ook een analyse van onze bevindingen. Het kan bijvoorbeeld zo zijn dat alle ernstige kwetsbaarheden zich vooral manifesteren in de autorisatiecontroles. We adviseren dan om hier extra aandacht aan te besteden. Zo krijg je dus los van alle individuele kwetsbaarheden ook inzicht in aan elkaar gerelateerde thema’s. Handig toch?
Alles op een rij
Bij een Vulnerability Assessment keren we binnen de scope alles binnenstebuiten. Zo krijg je een totaalbeeld van de beveiligingsstaat van een applicatie. Na het Vulnerability Assessment weet je:
- waar de kwetsbaarheden zich bevinden;
- wat de impact hiervan is;
- hoe deze het beste opgelost kunnen worden.
Lees ook onze andere blogs over de Pentest:
Wat is de doorlooptijd van een Pentest?
Wat is het verschil tussen een Pentest en Red Teaming?
Ik wil een Pentest laten uitvoeren, wat kan ik verwachten?
Wat moet ik regelen voor een Pentest?
