Wil je binnenkort voor het eerst een Pentest laten uitvoeren? Dan vraag je je vast af wat je van ons kunt verwachten. Logisch. Daarom leggen we stap voor stap uit hoe een Pentest traject er bij Computest Security uitziet.
Een Pentest of Vulnerability Assessment?
Om direct maar even met de deur in huis te vallen, waar mensen het vaak hebben over een Pentest bedoelen ze eigenlijk een Vulnerability Assessment. Het precieze verschil tussen deze twee is een lang, en nogal saai, verhaal. Praktisch gezien is onze dienst een Vulnerability Assessment, daarom kiezen we liever voor die benaming. Maar voel je vrij om hier Pentest te lezen.
Hoe zit een Vulnerability Assessment in elkaar?
Goed, terug naar waar we gebleven waren; het uitleggen wat je dan precies van ons mag verwachten. We delen een Vulnerability Assessment op in verschillende stappen.
- Stap 1: De kennismaking
Tijdens het kennismakingsgesprek stellen we het doel van de test en de scope vast. Op basis hiervan maken we een inschatting van de benodigde tijd om te testen (doorgaans één of twee weken). Vervolgens krijg je een overzichtelijke offerte van een Vulnerability Assessment in je mailbox.
- Stap 2: De planning
Akkoord? Super! We nemen contact op om de test in te plannen.
- Stap 3: De intake
Voordat we gaan testen, neemt de verantwoordelijke security specialist contact op. Tijdens de intake wordt dieper ingegaan op de scope en stelt de specialist een testplan op. We houden van overzicht. Daarom worden alle gemaakte afspraken en benodigdheden netjes opgeschreven. Denk bijvoorbeeld aan accountgegevens, domeinnamen en IP-adressen. Hierna gaan we allebei ons deel voorbereiden. Hiervoor spreken we gezamenlijk af hoelang we nodig hebben. Meestal is dat twee weken. Zo komen we goed beslagen ten ijs wanneer we daadwerkelijk gaan testen.
- Stap 4: Het onderzoek
De specialist duikt de diepte in. Uiteraard houden we je up-to-date tijdens het testen. Als we ergens tegenaanlopen dan trekken we aan de bel. Maar, over het algemeen zal je ons niet veel horen. Door de grondige voorbereiding en aangeleverde benodigdheden kunnen we zelfstandig het onderzoek uitvoeren. Je mensen hoeven niet klaar te staan om ons te ondersteunen.
Dit moet je nog meer weten over het onderzoeksproces:
1) Vinden we ernstige kwetsbaarheden waar je nu actie op moet ondernemen? Dan wachten we natuurlijk niet tot de rapportbespreking. Die laten we je asap weten.
2) Tijdens het testen merk je eigenlijk (bijna) niet dat we er zijn. Het kan zijn dat je gekke meldingen ontvangt, zoals geplaatste bestellingen of reacties met onverwachte invoer. Deze kun je meestal negeren. Als de applicatie ook door een SOC gemonitord wordt, kan het zijn dat deze contact opnemen in verband met verdachte activiteiten.
- Stap 5: Het rapport
Tijdens het testen houdt de specialist alle bevindingen bij. Deze worden overzichtelijk bij elkaar gezet in een eindrapportage. Onze specialisten zijn meesters in het duidelijk verwoorden van technische bevindingen. Je hoeft dus niet bang te zijn voor een ingewikkeld en onleesbaar rapport. Wij zijn to the point. Je leest alles over de gevonden kwetsbaarheden, de impact en oplossingsrichting. We maken inzichtelijk hoe ‘erg’ het gesteld is met een kwetsbaarheid door het CVSS-scoringssysteem. Zo zie je ook gelijk waar je prioriteit aan moet geven. We sluiten af met een managementsamenvatting en conclusie. Zo heb je in een oogopslag duidelijk wat de staat van de huidige security is.
- Stap 6: De eindbespreking
Natuurlijk sluiten we het project niet af zonder onze bevindingen uitgebreid toe te lichten. Alle resultaten komen aan bod. Heb je vragen? Brand maar los.
- Stap 7: Aftercare
Nu je weet hoe je ervoor staat, en waar de verbeterpunten liggen, ga je natuurlijk druk aan de slag. Benieuwd of jouw kwetsbaarheden goed zijn aangepakt? Na een aantal maanden kunnen we een check-up of hertest uitvoeren. We duiken dan nog een keer in de kwetsbaarheden. Zo weet je gelijk of ze goed zijn opgelost.
Klaar om aan de slag te gaan?
Neem via pentest@computest.nl of 088-7331337 contact op met onze security specialisten. Zij plannen graag een kennismaking in en kunnen je dan nog meer vertellen over onze Pentest en eventuele vragen beantwoorden.
Lees ook onze andere blogs over onze Pentest:
Welk inzicht geeft een Pentest mij?
Wat is de doorlooptijd van een Pentest?
Wat is het verschil tussen een Pentest en Red Teaming?
Wat moet ik regelen voor een Pentest?