Hybride Pentest

Laat ontwikkelaars een pentest zich eigen maken

Hoe werkt een normale pentest?

Bij een normale crystal-box pentest gebruiken pentesters de broncode en andere beschikbare kennis om te analyseren waar beveiliging verbeterd kan worden. Zo'n pentest duurt gemiddeld een week. In die tijd moet de pentester eerst opstarten, de applicatie begrijpen, ideeën opdoen, testen uitvoeren, tools draaien en rapporteren. Dat verloopt meestal zo:

  • Dag 1
    Inlezen en begrijpen hoe de applicatie werkt
  • Dag 2
    Ideeën bedenken voor mogelijke kwetsbaarheden
  • Dag 3
    Kwetsbaarheden testen en documenteren
  • Dag 4
    Afsluitende werkzaamheden, eventuele scans uitvoeren
  • Dag 5
    Rapportage opstellen en opleveren

Een ontwikkelaar weet echter al hoe de applicatie werkt, en kan dus sneller ideeën opdoen voor kwetsbaarheden. Het schrijven van unit-tests gaat vaak ook sneller dan de handmatige tests die pentesters uitvoeren. Veel pentesttools kunnen ook prima door het ontwikkelteam worden gedraaid. Er is alleen hulp nodig bij het interpreteren van de resultaten.

Hoe werkt een hybride pentest?

Bij een hybride pentest werken ontwikkelaars mee om aanvalsscenario’s in kaart te brengen. Ze schrijven vervolgens tests voor security-aannames en mogelijke kwetsbaarheden. Doordat ontwikkelaars de reguliere issues op zich nemen, kan een pentester zich focussen op geavanceerde hacks. Dit scheelt al gauw een dag per pentestweek.

Pragmatische, tekst-based rapportage

Op de rapportage kan ook worden bespaard. Start-ups kiezen er soms voor om geen formeel rapport op te laten stellen, maar nemen genoegen met een duidelijk overzicht van kwetsbaarheden. Zie hieronder welke onderdelen cruciaal zijn voor de ontvangers van de pentest-deliverable.

  • Managers: een heldere samenvatting van de impact van de bevindingen.
  • Ontwikkelaars: aanbevelingen en testbare scenario's.
  • Pentesters: technische notities en reproductiestappen.
  • Auditors / klanten: kort overzicht van de pentest en de resultaten.

Deze onderdelen leveren we net zo makkelijk aan via Slack, in Markdown of als backlog-items. Zolang de kwetsbaarheden herhaalbaar en oplosbaar zijn, is de vorm ondergeschikt aan de inhoud.

Pentesting en governance

Door samen te analyseren wat er mis kan gaan, voeren we niet alleen structurele verbetering door, maar bouwen we ook meteen documentatie voor governance. Het standaardiseren van iteratieve verbeteringen maakt het makkelijker om te slagen voor governance-eisen uit ISO 27001, NIS2 en andere frameworks. Je toekomstige (C)ISO zal er ook blij mee zijn.

Gebruik onze gratis zelfevaluatietool om een snelle evaluatie uit te voeren voor de applicaties in jouw landschap. Met een paar simpele reflectievragen, een checklist, en tips voor ontwikkeling en het ontwikkelproces, maak je het begin om applicatierisico's inzichtelijk te krijgen.

Start gratis zelfevaluatie

Iteratieve support en security training

We bieden ook iteratieve support: de pentest wordt verspreid over meerdere weken of sprints. Het team voert zelf het meeste werk uit, onder begeleiding van een pentester. Door middel van Threat Modeling, reviews en hybride pentestwerk worden ontwikkelaars op termijn zelf de security-experts, zodat ze actief kunnen bijdragen aan de kennisoverdracht naar de rest van het team.

Beveiliging in het proces

Neem betaalbaar security-werk op in je proces, bespaar op deliverables en train het ontwikkelteam tijdens de pentest.

Plan een kennismaking