Hybride Pentest

Laat ontwikkelaars zich een pentest eigen maken

Hoe werkt een normale pentest?

Bij een normale crystal-box pentest gebruiken pentesters de broncode en andere beschikbare kennis om te analyseren waar beveiliging verbeterd kan worden. Zo'n pentest duurt gemiddeld een week. In die tijd moet de pentester eerst opstarten, de applicatie begrijpen, ideeën opdoen, testen uitvoeren, tools draaien en rapporteren. Dat verloopt meestal zo:

  • Dag 1
    Inlezen en begrijpen hoe de applicatie werkt
  • Dag 2
    Ideeën bedenken voor mogelijke kwetsbaarheden
  • Dag 3
    Kwetsbaarheden testen en documenteren
  • Dag 4
    Afsluitende werkzaamheden, eventuele scans uitvoeren
  • Dag 5
    Rapportage opstellen en opleveren

Een ontwikkelaar weet echter al hoe de applicatie werkt, en kan dus sneller ideeën opdoen voor kwetsbaarheden. Het schrijven van unit-tests gaat vaak ook sneller dan de handmatige tests die pentesters uitvoeren. Veel pentesttools kunnen ook prima door het ontwikkelteam worden gedraaid. Er is alleen hulp nodig bij het interpreteren van de resultaten.

Hoe werkt een hybride pentest?

Bij een hybride pentest werken ontwikkelaars mee om aanvalsscenario’s in kaart te brengen. Ze schrijven vervolgens tests voor security-aannames en mogelijke kwetsbaarheden. Doordat ontwikkelaars de reguliere issues op zich nemen, kan een pentester zich focussen op geavanceerde hacks. Dit scheelt al gauw een dag per pentestweek.

Pragmatische, tekst-based rapportage

Op de rapportage kan ook worden bespaard. Start-ups kiezen er soms voor om geen formeel rapport op te laten stellen, maar nemen genoegen met een duidelijk overzicht van kwetsbaarheden. Zie hieronder welke onderdelen cruciaal zijn voor de ontvangers van de pentest-deliverable.

  • Managers: een heldere samenvatting van de impact van de bevindingen.
  • Ontwikkelaars: aanbevelingen en testbare scenario's.
  • Pentesters: technische notities en reproductiestappen.
  • Auditors / klanten: kort overzicht van de pentest en de resultaten.

Iteratieve support en security training

We bieden ook iteratieve support: de pentest wordt verspreid over meerdere weken of sprints. Het team voert zelf het meeste werk uit, onder begeleiding van een pentester. Door middel van Threat Modeling, reviews en hybride pentestwerk worden ontwikkelaars op termijn zelf de security-experts, zodat ze actief kunnen bijdragen aan de kennisoverdracht naar de rest van het team. Het standaardiseren van iteratieve verbeteringen maakt het makkelijker om te slagen voor governance-eisen uit ISO 27001, NIS2 en andere frameworks.

Veel kwetsbaarheden die pentesters vinden zijn makkelijk te voorkomen. Bereid je team voor met de tips en reflectievragen op onze adviespagina en voorkom veelgemaakte fouten.

Bereid je voor met gratis tips

Beveiliging in het proces

Neem betaalbaar security-werk op in je proces, bespaar op deliverables en train het ontwikkelteam tijdens de pentest.

Plan een kennismaking