Hoe u uw eerste penetration test afbakent

Het moeilijkste aan een penetration test is meestal niet de test zelf. Het is beslissen wat u test, waarom, en wat als succes telt. Krijgt u de scope juist, dan verloopt de opdracht vlot. Krijgt u ze fout, dan betaalt u voor een grondige blik op het verkeerde.

Hier leest u hoe wij eerste kopers helpen om een opdracht af te bakenen die hun vraag ook echt beantwoordt.

Begin bij de angst, niet bij de assetlijst

Voordat u servers opsomt, maakt u eerst deze zin af: "Als we gehackt zouden worden, dan zou het meest pijn doen dat ___."

Klantgegevens? Betaalstromen? Downtime op het platform waar uw omzet van afhangt? Uw antwoord bepaalt de richting van de hele opdracht. Een test die rond uw werkelijke worstcasescenario is afgebakend, is tien tests waard die zijn afgebakend rond wat het makkelijkst in een spreadsheet te zetten viel.

Bepaal wat de aanvaller weet

Penetration tests verlopen doorgaans in een van drie modi, en welke de juiste is, hangt af van wat u probeert aan te tonen.

• Black box. We starten met niets meer dan uw naam, zoals een aanvaller van buitenaf. Realistisch, maar trager, want we besteden tijd aan reconnaissance die u ons evengoed gewoon had kunnen vertellen.
• Grey box. We krijgen wat toegang, zoals een gewone gebruikersaccount. Dit is de ideale balans voor de meeste web- en apptests. Het bootst een gephishte werknemer of een kwaadwillende klant na.
• White box. We krijgen volledige toegang, documentatie, soms broncode. De snelste weg naar diepe dekking wanneer uw doel is om zoveel mogelijk te vinden, niet om een specifieke aanvaller na te bootsen.

De meeste eerste tests zouden grey box moeten zijn. Het houdt realisme in evenwicht met de uren die u betaalt.

Baken de grenzen duidelijk af

Een goede scope is specifiek over wat erbinnen valt en wat erbuiten. Som de exacte domeinen, IP-reeksen, applicaties en accounts op. Even belangrijk: som op wat we niet mogen aanraken: productiesystemen zonder failover, diensten van derden die u niet bezit, en alles wat onder een actief incident valt.

Dit is ook waar de rules of engagement thuishoren. Wanneer mogen we testen? Wilt u het op voorhand weten, of wilt u ook uw team blind laten testen? Wie is ons noodcontact als er iets echt in lichterlaaie lijkt te staan?

Spreek af hoe "klaar" eruitziet

Een test zou met meer dan een lijst moeten eindigen. Beslis op voorhand dat u wilt:

• Bevindingen gerangschikt naar werkelijk bedrijfsrisico, niet enkel naar ruwe ernst.
• Bewijs voor elke bevinding, zodat niemand discussieert over de vraag of ze echt is.
• Duidelijke remediatierichtlijnen waar uw team ook echt mee aan de slag kan.
• Een hertest nadat u zaken hebt opgelost, om te bevestigen dat de oplossingen standhouden.

Als een leverancier niet wil hertesten, vraag dan waarom. Een bevinding oplossen en de oplossing nooit verifiëren, is hoe hetzelfde probleem opduikt in het rapport van volgend jaar.

Wees eerlijk over timing

De twee meest voorkomende scopingfouten zijn te laat testen en te gehaast testen. Boek de test vóór een lancering, niet in de week ervan, zodat u tijd hebt om op te lossen wat we vinden. En geef de opdracht voldoende dagen om diep te gaan. Een serieuze applicatie heeft meer dan een namiddag nodig.

De korte versie

Baken af rond uw worstcasescenario, kies het toegangsmodel dat past bij de dreiging waar u om geeft, trek duidelijke grenzen, en definieer succes als bewijs plus een oplossing plus een hertest. Doe dat en uw eerste penetration test zal minder aanvoelen als een sprong in het ongewisse en meer als de routine die het zou moeten worden.

Wanneer u er klaar voor bent, praat met een operator en we helpen u ze correct af te bakenen.