Haal het maximale uit een penetratietest

Jordi Smit
Een veiligheidslek kan een grote impact hebben op een organisatie. Het is daarom belangrijk je applicatie, systeem of netwerk te controleren op de aanwezigheid van zwakke plekken. Daarvoor is een penetratietest uiterst geschikt.

Bruikbaarheid penetratietest

De bruikbaarheid van een penetratietest valt en staat met een juiste voorbereiding en uitvoering. Vervolgens is het zaak de gerapporteerde bevindingen om te zetten. Maar hoe haal je het onderste uit de kan met een penetratietest, ook wel pentest genoemd?

Inventarisatie bedrijfsrisico's

Een verstandige eerste stap om te zetten, is het inventariseren van bedrijfsrisico's. Is bijvoorbeeld je imago essentieel, beschik je over zeer gevoelige data, of leun je enorm op een goede uptime? Wie zijn achilleshiel kent, weet ook waar hij zijn aandacht op moet vestigen tijdens een pentest.

Wat wil je toetsen

Heb je de bedrijfsrisico's geïnventariseerd? Dan is het belangrijk jezelf af te vragen wat je precies wilt toetsen? Dit kan variëren van de weerbaarheid van een enkele website of applicatie tot aan die van de volledige it-infrastructuur. Bij de keuze hierbij is het van belang alle betrokken systeemonderdelen te selecteren.

Testmethodes penetratietest

De gebruikte testmethode bepaalt voor een groot deel de betekenis en bruikbaarheid van de uitkomsten. Er zijn grofweg drie testmethoden te onderscheiden. Iedere variant heeft zijn eigen specifieke kenmerken en use cases.
 

  • Blackbox: De ethical hacker krijgt vooraf, naast de scope, geen informatie over de it-infrastructuur. Wel wordt in veel gevallen een scope afgesproken om verwachting over en weer goed af te stemmen.
  • Greybox: Deze variant houdt het midden tussen een blackbox- en een whiteboxtest. De pentesters krijgen van tevoren beperkte informatie over de it-infrastructuur of toegang tot een klant- of medewerkersaccount.
  • White box: Pentesters krijgen met een whiteboxpentest vooraf volledige openheid van zaken. Dat maakt een grondige test mogelijk.

LEES OOK: Hackers willen duizenden gestolen 9/11-documenten verkopen

Kwaliteit van belang

Een pentest is zo goed als de uitvoering ervan. Het kiezen voor een partij met meer dan genoeg kennis, vaardigheden en ervaring is dan ook belangrijk. Een van de indicatoren is de mate waarin een pentest geautomatiseerd plaatsvindt. Het is geen goed teken wanneer het merendeel bestaat uit automatische testen. Een computer kan maar een beperkte set aan kwetsbaarheden in kaart brengen.

afbeelding van Jordi Smit
Door: Jordi Smit

Jordi Smit | Redacteur

Bekijk alle artikelen van Jordi