Tijd voor een Pentest! Wie vertrouw jij met jouw applicatie?
Wanneer je een organisatie onder de arm neemt om een applicatie te ontwikkelen, verwacht je dat deze aan bepaalde beveiligingsnormen voldoet. Hackers zoeken constant nieuwe manieren om de IT omgeving van bedrijven binnen te dringen. Je kunt het je absoluut niet meer veroorloven om een achterdeur open te laten in je applicatie. Een Pentest is dan ook allesbehalve een overbodige luxe. Maar door wie kun je zo’n Pentest nu het best laten uitvoeren?
Laat jij de slager zijn eigen vlees keuren?
In eerste instantie lijkt het logisch om de Pentest over te laten aan de ontwikkelaar van de applicatie. Twee vliegen in één klap! Maar zal die wel volledige transparantie bieden? Stel dat die zwakke punten detecteert in de applicatie die hij net voor jou heeft ontwikkeld, zal die deze dan aan jou rapporteren? Om dezelfde reden keurt de slager niet zijn eigen vlees: belangenconflict.
Wanneer je een externe partij inschakelt, dan speelt dit probleem niet. Die kan 100% eerlijk en objectief zijn. En dát heb je nodig wanneer het om security gaat.
Het Nationale Cybersecurity Debat
Op dinsdag 7 juni brengen we toonaangevende cybersecurity experts uit België én Nederland samen om te discussiëren over maatschappelijk relevante cybersecurity kwesties. En jij kan vanop afstand mee je stem uitbrengen! Niet te missen dus.
Ontdek snel de sprekers en de stellingen waarover gedebatteerd zal worden.
Vóór de Pentest: beslissingen nemen
Alvorens je een Pentest laat uitvoeren, moet je over een aantal aspecten nadenken. Allereerst is het essentieel dat je de scope en het doel van de Pentest heel duidelijk definieert. Vervolgens kun je — in overleg met de externe partij — het type Pentest bepalen. Over het algemeen zijn er drie mogelijkheden:
- Je geeft alleen je IP adres en de ethische hackers testen of ze je applicatie kunnen binnendringen.
- Je laat ethische hackers vanuit een gelimiteerd gebruikersaccount met weinig rechten, proberen om kwetsbaarheden in je systeem te vinden.
- Ethische hackers krijgen alle informatie op voorhand, krijgen volledige gebruiksrechten over de omgeving toegewezen en gaan van daaruit gericht op zoek naar kwetsbaarheden.
Welke optie je ook kiest: er gelden altijd spelregels. Een ethische hacker werkt op basis van 'rules of engagement' die vooraf worden vastgelegd in een document. Als je dit document ondertekent, geef je toestemming om de Pentest uit te voeren op basis van de bepaalde voorwaarden.
Ná de Pentest: gaten dichten en (blijven) evalueren
Wanneer je een Pentest laat uitvoeren door een externe partij, dan bezorgt deze je een rapport met de resultaten. Aan de hand daarvan kun je meteen zien waar kritieke gaten zitten die je het liefst meteen dicht. Wortell werkt bijvoorbeeld met een classificatiesysteem. Op die manier kun je makkelijk inschatten welke kwetsbaarheden het grootste risico betekenen en prioriteit hebben.
Nadat je de nodige actie hebt ondernomen, is het verstandig om naar de toekomst te kijken. Wil je van tijd tot tijd met de externe partij de voortgang bespreken? En wanneer is het tijd voor de volgende Pentest?
Want het is belangrijk om te beseffen dat een Pentest een momentopname is. De technieken van het hacken staan niet stil — en je applicatie ook niet. Een update kan een wereld van verschil betekenen in positieve én negatieve zin. Elke wijziging in je applicatie kan nieuwe deuren openen voor hackers. Daarom is het aangewezen om regelmatig (bijvoorbeeld één keer per kwartaal) een Pentest te laten uitvoeren. Welke frequentie voor jou relevant is, kun je bespreken met de externe partij.
