Haal het maximale uit een penetratietest

Jordi Smit
Een veiligheidslek kan een grote impact hebben op een organisatie. Het is daarom belangrijk je applicatie, systeem of netwerk te controleren op de aanwezigheid van zwakke plekken. Daarvoor is een penetratietest zeer aan te raden..

Bruikbaarheid penetratietest

Wil je een bruikbare penetratietest? Het is daarbij essentieel dat je kiest voor de juiste voorbereiding en uitvoering. Eenmaal uitgevoerd dien je de gerapporteerde data om te zetten in iets bruikbaars. Maar hoe haal je er alles uit?

Inventarisatie bedrijfsrisico's

Een verstandige eerste stap om te zetten, is het inventariseren van bedrijfsrisico's. Is bijvoorbeeld je imago essentieel, beschik je over zeer gevoelige data, of leun je enorm op een goede uptime? Wie zijn achilleshiel kent, weet ook waar hij zijn aandacht op moet vestigen tijdens een pentest.

Wat wil je toetsen

Heb je de bedrijfsrisico's geïnventariseerd? Dan is het belangrijk jezelf af te vragen wat je precies wilt toetsen? Dit kan variëren van de weerbaarheid van een enkele website of applicatie tot aan die van de volledige it-infrastructuur. Bij de keuze hierbij is het van belang alle betrokken systeemonderdelen te selecteren.

Testmethodes penetratietest

De gebruikte testmethode bepaalt voor een groot deel de betekenis en bruikbaarheid van de uitkomsten. Er zijn grofweg drie testmethoden te onderscheiden. Iedere variant heeft zijn eigen specifieke kenmerken en use cases.
 

  • Blackbox: De ethical hacker krijgt vooraf, naast de scope, geen informatie over de it-infrastructuur. Wel wordt in veel gevallen een scope afgesproken om verwachting over en weer goed af te stemmen.
  • Greybox: Deze variant houdt het midden tussen een blackbox- en een whiteboxtest. De pentesters krijgen van tevoren beperkte informatie over de it-infrastructuur of toegang tot een klant- of medewerkersaccount.
  • White box: Pentesters krijgen met een whiteboxpentest vooraf volledige openheid van zaken. Dat maakt een grondige test mogelijk.

LEES OOK: Hackers willen duizenden gestolen 9/11-documenten verkopen

Kwaliteit van belang

Een penetratietest is, net als elk onderzoek, net zo goed als de uitvoering. Het is dan ook belangrijk dat je dit een partij laat doen dat over voldoende kennis, vaardigheden en ervaring beschikt. De juiste uitvoering, daar draait het om.

afbeelding van Jordi Smit
Door: Jordi Smit

Jordi Smit | Redacteur

Bekijk alle artikelen van Jordi