Werkwijze pentesten BSM

Pentest uitvoeren

Een pentest uitvoeren

Op de pagina over pentesten heeft u kunnen lezen welke soorten pentesten er zijn en waarom deze nodig zijn bij bedrijven en organisaties. Op deze pagina leest u hoe het aanvragen en de uitvoer van de pentesten gaat.

Contract

Als eerste heeft u waarschijnlijk per e-mail of telefonisch contact met ons opgenomen en hebben wij de mogelijkheden doorgesproken. Daarna hebben wij een offerte voor u opgesteld en die heeft u ondertekend. Voor pentesten is er bij het contract een extra onderdeel opgenomen, de vrijwaring

Vrijwaring

In de vrijwaring geeft u ons schriftelijk toestemming om de systemen te testen. De tijdstippen waarop we de pentest uit mogen voeren zijn ook vastgelegd in de vrijwaring. De tijden zijn belangrijk omdat u mogelijk monitoring systemen heeft ingericht die alarm slaan bij de pentests. U weet dan dat de kans groot is dat wij de alerts veroorzaken.  zVerder moet u in de vrijwaring verklaren eigenaar te zijn van de systemen of een dienst in te kopen waarbij pentesten zijn toegestaan. U mag ons immers geen pentest laten doen op de website van de concurrent.  

Backup

Wij melden altijd vooraf, o.a. via het vrijwaringsformulier, dat u zelf verantwoordelijk bent voor een back-up. Het komt eigenlijk nooit voor dat er iets echt stuk gaat of gegevens verloren gaan tijdens de testst, maar voor de zekerheid raden wij aan dat u uw back-ups vlak voor de pentest regelt en de juiste werking van de back-up nog even controleert.

Test of productieomgeving?

Bij de pentests vragen wij u altijd of de systemen die wij testen productiesystemen zijn of dat het een test of ontwikkelomgeving betreft. In het tweede geval zetten wij in onze tests namelijk veel meer opties aan. Hackers zouden dit waarschijnlijk ook doen maar op een productiesysteem moeten wij voorzichtig zijn. U voel nu al aan dat de testen altijd betere (volledigere) resultaten opleveren als u een testomgeving beschikbaar heeft of speciaal voor de pentest beschikbaar maakt.

Rapport

Na afloop van de pentest ontvangt u een puntenlijst of een volledig rapport, dit hangt af van wat we af hebben gesproken voordat we de pentest uitvoeren. Het maken van een rapport kost immers veel tijd en u kunt kosten besparen als u geen externe rapportages nodig heeft of wij kunnen de tijd van rapportage ook nog besteden aan testen. Het is namelijk belangrijk om te weten dat een pentest een goed beeld maar nooit een volledig beeld geeft van alle kwetsbaarheden. Hoe langer wij mogen testen, hoe meer kwetsbaarheden wij aantreffen maar meestal is er budget voor enkele dagen werk. Als de risico’s hoog of de belangen groot zijn, duren pentesten soms wel enkele weken.

Respons

In ons rapport staan zaken waarvan wij denken dat ze een risico vormen. De organisatie zelf krijgt daarna de gelegenheid om zelf te controleren of onze bevindingen wel juist zijn. Ook wij hebben soms false positives in onze rapporten, bijvoorbeeld omdat er een vanaf het internet onmeetbare tegenmaatregel is die het risico wegneemt. De management respons nemen wij mee in ons definitieve rapport.

Herscan

Ons rapport bevat ook altijd tips een aanbevelingen hoe de risico’s we te nemen zijn. Vaak implementeren bedrijven de ‘fixes’ waarna wij gevraagd worden om een herscan te doen. Vaak kan dit tegen een lager budget dan de eerste scan

Periodiek testen

Met sommige bedrijven sluiten wij vervolgens een contact af om periodiek te pentesten. Dit kan dagelijks, wekelijks, maandelijks of bijvoorbeeld per jaar gedaan worden. Mochten er nieuwe kwetsbaarheden ontstaan dan zien wij deze sneller als wij regelmatig en pentest voor u uitvoeren. Onze scan software krijgt dagelijks updates met nieuwe mogelijkheden die hackers gevonden hebben om uw systemen binnen te dringen. 

Wilt u meer informatie, of heeft u vragen? Neem gerust contact met ons op.