Direct hulp nodig? Bel of app ons noodnummer.

040-2095020

Pentest

  • 28 mrt, 2022

Hoe vaak zijn pentests nodig?

“Een pentest is niet eenmalig”: wie zich verdiept in pentests is deze uitspraak vast al eens tegengekomen. Maar wat betekent het nou echt? Hoe vaak zijn penetratietesten daadwerkelijk nodig?

Uitspraken over de niet-eenmaligheid van penetratietesten wekken snel de indruk dat pentesten al snel verandert in een slepend proces. Iets dat – als u niet uitkijkt – maandelijks terugkomt. “Er is geen budget voor periodieke pentests, dus laat die eerste dan ook maar zitten” is dan de gedachte. Logisch maar wel onhandig: want organisaties lopen daarmee een hoop inzicht – en dus veiligheid – mis.
 

Dus: hoe vaak zijn penetratietesten nodig?

Wanneer u googelt op deze vraag, zijn de antwoorden uiteenlopend. Al lijken “1 keer per 6 maanden” en “nog liever 1 keer per maand” de meest voorkomende reacties. Ja, daar zijn we het mee eens. Maar… Ons échte antwoord is misschien wat onconventioneler: het kunnen er soms ook ietsje minder zijn.

Want laten we realistisch blijven. Niet elke organisatie heeft geld voor een tal aan pentests per jaar. Of genoeg personeel om elke maand te schakelen met een pentester. Kortom: niet elke organisatie is ingericht op maandelijkse of halfjaarlijkse pentests. In dat geval is doelgericht pentesten een goede optie.

Hoe u doelgericht pentesten eruit ziet? Daar gaan we later in dit artikel dieper op in. En voor wie nog dieper wil duiken in het onderwerp, hebben we de pentest & ethisch hacken masterguide voor nog meer informatie over pentests.
 

Eén pentest is beter dan geen pentest

Omdat een pentest een momentopname is en alleen weergeeft hoe een systeem, website of (web)applicatie er op dat moment uit zag, is periodiek testen altijd het beste. Maar laten we eerlijk zijn: één pentest is beter dan geen pentest. Zeker wanneer een systeem of applicatie al lang in gebruik is, is de kans op kwetsbaarheden bijna gegarandeerd. Een pentest brengt deze in kaart en geeft u de gelegenheid ze te verhelpen.
 

De voordelen van maandelijkse penetratietesten

Elke maand of halfjaar pentesten is slim, want zo zit het in de routine en is de organisatie gewend erop in te spelen. De verantwoordelijken zijn dan gewend dat er periodiek actiepunten uit een penetratietest naar voren komen. Zijn er kwetsbaarheden? Dan zijn de stappen om deze te verhelpen in dit geval vaak sneller gezet.

Die stappen hoeven niet altijd groots te zijn. Bij de eerste paar pentests komt er vaak veel boven. Maar hoe vaker u penetratietesten laat uitvoeren, hoe minder er – als het goed is – uit naar voren komt. Tenzij u (bijvoorbeeld een applicatie) door blijft ontwikkelen natuurlijk. Dan is de kans reëel dat een pentest altijd nieuwe kwetsbaarheden blootlegt.
 

Voorbeelden & voordelen van doelgericht pentesten

Het is ook een optie juist doelgericht om te gaan met pentests. Dat houdt in: pentesten op de belangrijke momenten, dus niet op gezette momenten in het jaar. Wat die belangrijke momenten zijn? We zetten een paar voorbeelden op een rijtje:

• Bijvoorbeeld na het ontwikkelen van een (web)applicatie, vlak voor de livegang
• Nadat er nieuwe functionaliteiten zijn geïmplementeerd (of juist tijdens de nieuwe ontwikkelingen)
• Wanneer een systeem of applicatie al lang zonder toetsing in gebruik is
• Op de momenten dat dit moet voor de compliance van een certificaat
• Nadat security verbeteringen zijn doorgevoerd, een controlepentest dus

Vaker pentesten geeft altijd meer inzicht. Maar wanneer periodiek niet mogelijk is, is doelgericht pentesten een goede manier om kosten onder controle te houden en toch inzicht te winnen. Een groot voordeel wanneer uw organisatie het moet doen met beperkte budgetten dus.
 

Penetratietest in combinatie met vulnerability scans

Wie de cyber security ontwikkelingen een beetje bijhoudt, weet dat er zeer regelmatig nieuwe kwetsbaarheden opduiken. Die ontstaan onder andere wanneer software of besturingssystemen een nieuwe update krijgen. Hoe ernstiger de kwetsbaarheid, hoe groter de kans dat hackers deze massaal exploiteren. De Log4J kwetsbaarheid is daar een goed voorbeeld van.

Om naast pentests op de hoogte te blijven van kwetsbaarheden in aangekochte software, zijn vulnerability scans in de vorm van vulnerability management software een goede toevoeging. Zo verkrijgt u inzicht vanuit beide disciplines (het hele jaar door).

Vragen over penetratietesten en vulnerability scans?

Overweegt u een pentest voor uw organisatie? Of heeft u een vraag over vulnerability scans? Neem vrijblijvend contact met ons op voor meer informatie.

Inschrijven nieuwsbrief

Lees ook...

Website security

  • 1 okt, 2024

Wat is security.txt en waarom is het handig?

Sommige beveiligingsmaatregelen kosten zo weinig moeite of geld, dat het enkel een kwestie van doen is. Security.txt is daar één…

Lees verder

AI

  • 26 aug, 2024

Dead Internet Theory & cybersecurity: chat u met een mens of met AI?

We scrollen allemaal door LinkedIn, Instagram, Reddit of Facebook. We lezen artikelen, lezen comments, bekijken videos en kletsen misschien zelfs…

Lees verder

SOC

  • 20 aug, 2024

Wat is MDR: een voorbeeld uit de praktijk

Detection & Response kent intussen een hoop afkortingen. In dit artikel duiken we dieper in MDR: Managed Detection & Reponse….

Lees verder

Human Factor

  • 17 jul, 2024

Nederlandse (en Engelse) podcasts over hacken en cybersecurity

Welke cybersecurity podcasts zijn nu echt het luisteren waard? Of het nu voor onderweg is of voor in de vrije…

Lees verder

Uw cyber security bespreken en advies ontvangen?

Afspraak maken

Vragen over cyber security? Bel ons vrijblijvend op:

Afspraak maken

"*" geeft vereiste velden aan

Naam*
Privacy policy*