Penetratie testen is uitgegroeid tot een essentieel belang voor bedrijven op zoek naar een robuuste cybersecurity houding te handhaven. Maar als je de inbedrijfstelling van een test voor de eerste keer, dan heb je de uitdaging van het kiezen van de juiste provider.
Pen testen is een zeer gespecialiseerde vaardigheid vereist gekwalificeerde, geïnformeerde professionals, dus het is belangrijk dat u vertrouwen in de mensen het gevoel dat je vertrouwen om een evaluatie uit te voeren.
Immers, je zou wel eens nodig zijn om een tester te voorzien van toegang tot gevoelige systemen en gegevens. Hier zijn enkele van de belangrijkste vragen die je nodig hebt om een pen testen provider vragen om de besluitvorming zo zorgeloos mogelijk te maken.
Hebben zij relevante certificering?
Het is essentieel dat u vertrouwt uw pen-test provider om te werken aan de hoogste technische voltooien, juridische en ethische normen. Het eerste wat je nodig hebt om te kijken naar de zekerheid die u nodig heeft te verkrijgen, is de vraag of de dienstverlener is volledig opgeleid en gekwalificeerd in de diensten die zij aanbieden.
Kijk voor pen-test providers die -CREST geaccrediteerd en maken gebruik van ethische hackers die een scala aan professionele certificeringen bezitten. Dit zal niet alleen helpen om aan te tonen dat zij een goede kennis van de nieuwste hacking technieken, maar kan worden vertrouwd om assessments veilig gedrag, zonder schade en verstoring van uw systemen.
Kunnen ze het uitvoeren van een breed scala van testen?
Hierbij moet worden opgemerkt dat er veel verschillende soorten penetration testing. De meeste bedrijven vereisen een scala van verschillende tests om de interne en externe risico's te identificeren, evenals die specifiek betrekking hebben op netwerken, systemen en applicaties.
Dit betekent dat u het meest uit een team van pen testers dat de vaardigheden en ervaring ten goede zal komen aan een breed scala van beoordelingen uit te voeren. Deze omvat witte doos, blackbox en Greybox testen. Sommige pen-test providers zijn sterk afhankelijk van de automatisering om beoordelingen uit te voeren, dus het is belangrijk om het niveau van handmatig testen die zullen worden uitgevoerd als onderdeel van een evaluatie na te gaan.
Een pen test is niet altijd over het identificeren van veel low-level kwetsbaarheden, iets meer hoog risico degenen die het scannen van tools zijn niet in staat op te sporen.
Hebben ze een goede track record?
Een ervaren pen testen provider zal een goede reputatie op het gebied van cyberveiligheid dus het is een geweldig idee om te controleren of het bedrijf een scala aan klanten referenties en getuigenissen kunnen leveren van organisaties vergelijkbaar zijn met uw eigen.
Als een provider geen bewijs kunnen aantonen dat zij zijn overgegaan tot een hoge standaard van het werk voor andere bedrijven, dan weglopen. Je moet niet genoegen nemen met lage kwaliteit van het werk als er veel gerenommeerde aanbieders beschikbaar.
Hebben ze specifieke branchekennis?
Het is van vitaal belang om vast te stellen of de aanbieder heeft ervaring met het werken met organisaties in uw specifieke branche, want dit kan beïnvloeden of zij kunnen uitvoeren grondig testen zijn.
Bijvoorbeeld, hoe vertrouwd is testers van een provider met specifieke software of toepassingen die vaak worden gebruikt in bedrijven als uw eigen? Zijn ze zich bewust van de risico's van het testen infrastructuur specialist, zoals die worden gebruikt in de financiële, gezondheidszorg en fabricage?
Hebben ze melden en feedback geven?
Wanneer we spreken met een provider, is het belangrijk om vast te stellen niet alleen hoe de penetratie-test zal worden uitgevoerd, maar ook wat voor soort feedback ontvangt u en hoe het zal worden meegedeeld. Veel testers zijn in staat om het uitvoeren van de test, maar zullen niet altijd het niveau van de feedback die je nodig hebt om prioriteiten te stellen en eventuele risico's geïdentificeerd.
Er moet een aanbieder die een uitgebreid verslag post-assessment geschikt zal opleveren voor zowel technische als niet-technische belanghebbenden kiezen. Vraag altijd om een monster te zien.
Zijn ze flexibel?
Gezien het feit dat penetratie testen is waarschijnlijk het testen van belangrijke systemen en infrastructuur te betrekken, moet u ervoor zorgen dat u kiest voor een pen testen provider die flexibel behoeften van het bedrijfsleven. Bijvoorbeeld, kunnen testen worden uitgevoerd, zowel on-site en op afstand, evenals van reguliere kantooruren.
Hebben ze bieden een gratis hertest?
Eindelijk, nadenken over wat er gebeurt na uw penetratietest. Uw bedrijf zal waarschijnlijk moeten stappen om kwetsbaarheden te verhelpen, maar hoe weet je of deze maatregelen doeltreffend te nemen? Te veel bedrijven stappen ondernemen om het probleem op te lossen, maar nooit valideren van de resultaten van de veranderingen, wat betekent dat ze niet kan werken in een echte aanval.
Vraag altijd een provider als het biedt de mogelijkheid om een gratis re–test om te helpen bereiken vertrouwen dat de wijzigingen die u effectief.
Over de auteur: Chester Avey
Chester Avey heeft meer dan tien jaar ervaring in cyberveiligheid en zakelijke groei consultant. Hij geniet van het delen van zijn kennis met andere gelijkgestemde professionals door middel van zijn schrijven. Zoek uit wat anders Chester maximaal is op Twitter: @ Chester15611376.
