Home

beveiligingstesten

Beveiligingstesten, ook wel security testing genoemd, is het gestructureerd beoordelen van ICT-systemen, applicaties en processen op kwetsbaarheden die de vertrouwelijkheid, integriteit en beschikbaarheid kunnen aantasten. Het doel is kwetsbaarheden te identificeren, het opkomende risico te kwantificeren en input te leveren voor remedie, prioritering en naleving van wet- en regelgeving. Beveiligingstesten kunnen helpen bij het voorkomen van datalekken, reputatieschade en operationele storingen.

Er bestaan verschillende vormen: vulnerability assessment, waarin kwetsbaarheden worden geïnventariseerd met automatische scans; penetratietesten (pen tests),

Proces en aanpak: vooraf vindt scoping en toestemming plaats, inclusief ethische en juridische kaders. De uitvoering

Beveiligingstesten horen in een bredere beveiligings- en risicobeheercyclus thuis. Het is essentieel om testactiviteiten te koppelen

waarbij
beveiligingslekken
actief
worden
geëxploiteerd
om
de
realistische
impact
te
tonen;
en
red-teams
of
gecontroleerde
aanvalsoefeningen.
Ook
sociale
engineering
kan
deel
uitmaken.
Tests
kunnen
uitgevoerd
worden
onder
verschillende
toegangskenmerken:
black-box
(geen
interne
kennis),
white-box
(volledige
informatie)
en
grey-box
(beperkte
kennis).
Toepassingsgebieden
zijn
onder
meer
netwerken,
webapplicaties,
mobiele
apps,
cloud-omgevingen
en
Internet
of
Things.
doorloopt
meestal
fasen
zoals
definiëren
en
plannen,
verkenning,
exploitatie
en
analyse,
rapportage,
remediatie
en
soms
retesting.
Deliverables
bevatten
bevindingen,
risico-indeling
(hoog,
middel
of
laag),
bewijs
van
concepten
en
concrete
aanbevelingen
voor
mitigatie
en
prioritering.
Relevante
normen
en
referenties
zijn
onder
meer
OWASP
Top
10,
ISO/IEC
27001,
NIST
SP
800-115
en
OSSTMM.
aan
vulnerability
management
en
om
testen
regelmatig
te
herhalen,
idealiter
geïntegreerd
in
softwareontwikkeling
en
CI/CD.
Ethische
en
wettelijke
randvoorwaarden
zoals
toestemming
van
de
eigenaar
en
een
verantwoord
disclosure-proces
vormen
een
randvoorwaarde
om
juridische
problemen
te
voorkomen.