Pentest-> blackbox, graybox of crystalbox?
Gezien wij als applicatiebouwers best veel tijd besteden aan het bouwen van onze applicaties, is het logisch dat we ook veel testen. Natuurlijk hebben we de OTA en ook Agile wordt als basis gebruikt. En dan joepie…is er weer een productie release (P)… en dan beginnen de gevaren van het onbekende.
Onze applicaties worden vervolgens geïntegreerd in een compleet netwerk, waar het naast alle andere applicaties draait. Dit valt meestal onder “extern” netwerk- en applicatiebeheer, waarbij Security tegenwoordig hoog in het lijstje met prioriteiten staat.
Vaak wordt de security binnen bedrijven op de proef gesteld door de zogenaamde pentesten. Nou blijkt de ene pentest zeker niet het niveau te hebben van een andere pentest, ook al is er procedureel het een en ander vastgelegd in het CCV-keurmerk voor pentests. Deze zegt alleen niets over wat er precies onderzocht dient te worden, de bewijsbaarheid van het onderzoek of de reproduceerbaarheid van alle stappen. En daarnaast de vraag: Doen onze klanten dan een poortscan, blackbox, graybox of crystalbox pentest of halen ze een compleet hackersteam in huis?
Ik kan mij herinneren dat wij ruim 10 jaar geleden voor het eerst door een van onze grotere klanten werden gebeld dat, destijds, onze Apache webserver niet door de testen heen kwam en dat de stekker uit TSMS was getrokken, tjonge wat een stress. Sindsdien wordt er continu door onze klanten getest op onze security en zijn we aardig up-to-date. Onze klanten zijn we zeer dankbaar met het delen van hun kennis, kunde, aanmeldingen en adviezen om onze security continu up-to-date te houden.
Zo werden wij kortgeleden gebeld door een klant die pentesten had gedaan, de applicatie had een vulnerability. Het bleek iets met een service te maken te hebben en iets met een spatie erin, zonder dat er “ omheen zaten. Of we dit met spoed konden aanpassen, natuurlijk doen wij dat en we bedanken daarna gelijk onze klant! Op onze vraag of er ook andere leveranciers dit soort problemen hadden, werd ons lachend verteld dat in Microsoft ook ergens zo een probleem zat… je raadt al dat die niet gebeld zijn.
