Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

‘Scope bij pentests: vals gevoel van veiligheid’

29 januari 2016 - 15:02OpinieSecurity & Awareness
Jasper Bakker
Jasper Bakker

Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over dé valkuil voor pentests: het bepalen van bereik daarvoor.

Het lijkt zinnig om tests gericht te laten uitvoeren. Het bepalen van een bereik is niet alleen nuttig vanwege het risico van enorm uitdijende kosten voor dat testen. Het stellen van zogeheten scope is natuurlijk ook nuttig om daarna gericht te kunnen verbeteren. Alleen is security nu net zo’n breed en belangrijk gebied dat het beperken van pentests middels vooraf opgelegde scope funest kan zijn.

Security-experts die worden ingezet – en soms extern ingehuurd – om te proberen binnen te komen, worden zo aan handen en voeten gebonden. De test of systemen zijn te penetreren heeft dan weinig tot geen nut. Sterker nog: het kan een vals gevoel van veiligheid geven. Want kwaadwillenden beperken zichzelf immers niet tot bepaalde gebieden of systemen. Zij proberen juist alles om maar binnen te komen. Dit wil niet zeggen dat scope verboden zou moeten worden. Scope moet wel wijselijk worden ingezet. Wat vind jij?

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Meer lezen

    Computable.nl
    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    ActueelSecurity & Awareness

    Vaarwel C++ en C: VS zetten in op memory safe-programmeertalen

    ActueelSecurity & Awareness

    Cybersec Netherlands trekt op met Data Expo

    Cloudsecurity
    ActueelSecurity & Awareness

    De zware uitdaging van cloudbeveiliging

    ActueelSecurity & Awareness

    Kort: PQR lijft E-Storage in, Fox-IT en Xerox it-partners van de Navo-top (en meer)

    3 reacties op “‘Scope bij pentests: vals gevoel van veiligheid’”

    1. Mauzze schreef:
      3 februari 2016 om 07:06

      Scope?? Welke hacker gebruikt een scope?? Geef gewoon mandaat om de pentest uit te voeren, scope is zo breed als nodig is. Binnenkomen op welke manier dan ook. Zodra er een afbakening wordt afgezet in een scopebepaling, dan worden er bewust of onbewust onderdelen gemist, en dat is jammer want die onderdelen zijn vaak de sleutel voor inbraak.

      Login om te reageren
    2. KJ schreef:
      3 februari 2016 om 07:36

      Pen-tests zeggen niet zoveel. Er is namelijk ook nog een andere belangrijker scope, namelijk die van het spectrum van de tests die op de infrastructuur worden uitgevoerd. Hoeveel tests worden precies er tijdens de pen-test uitgevoerd? Worden inderdaad alle attack-surfaces getest of beperkt de test zich tot de inhoud van de tool (MetaSploit, Nessus, BackTrack etc) en is die tool up/to date en/of misschien een gratis (uitgeklede) versie? Betreft het alleen een black box pen test of wordt er ook met legitieme users getest? Een groot gedeelte hacks wordt namelijk door insiders gepleegd.

      Er bestaan vele manieren om een infrastructuur en/of applicatie binnen te dringen. Een pen-test is een dure manier om aan te tonen dat er inderdaad een of meer kwetsbaarheden bestaan.

      Login om te reageren
    3. STREED schreef:
      3 februari 2016 om 12:03

      Ten eerste geen enkele infrastructuur kan volledig beveiligd worden. Anders kan ook niemand ermee werken. Ten tweede een professionele pen-tester zal nooit gratis, uitgeklede tools gebruiken maar vertrouwde up-to-date tools en methodieken gebruiken om te ontdekken welk kwetsbaarheden er zijn. Wanneer je een scope met een klant afspreekt dan is het ook noodzakelijk de klant bewust te maken dat er gebieden zullen zijn die niet getest zullen worden en dat de klant hiermee akkoord zal gaan en de risico’s accepteren.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Computable Insights

    Een ai-agent die klantvragen afhandelt. Dat is een van de nieuwste troeven van softwareproducent Salesforce, dat daarmee meesurft op de...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs