Goede pentest-dienstverleners

Pagina: 1
Acties:
  • 1.737 views

Vraag


Acties:
  • 0 Henk 'm!

  • Dedun
  • Registratie: November 2003
  • Laatst online: 15-11-2024
Op mijn werk moet er nu en dan een pentest plaatsvinden op bv. een portaal en een stuk van de back-end.

Om die reden zijn we op zoek naar een bedrijf dat goed kan omgaan met kleinere opdrachten en deze op een pragmatische manier invulling kan geven.

Zijn hier wellicht marketplaces voor? Of heeft iemand erg positieve ervaringen met bedrijven die vergelijkbare pentests hebben uitgevoerd? Alle hulp is welkom, alleen sales pitches zal ik niet zo interessant vinden :)

Alle reacties


Acties:
  • +1 Henk 'm!

  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 00:03

The Eagle

I wear my sunglasses at night

Marketplaces geen idee. Ik weet dat mijn werkgever het aanbiedt en qua grootte opdracht maakt dat bij ons iig weinig uit en kan er in overleg heel veel, dus ook kleinschalig. DM voor meer info mocht je dat willen :)

Weet ook dat er andere bedrijven zijn die het doen, maar de offertes die ik daarvan gezien heb waren de hoofdprijs. Ik heb zelfs 35k voor een paar dagen werk plus rapportje gezien bij een overheidsklant waar ik zat. Werd grif betaald, maar dat had meer te maken met beleid = beleid en een inkoper die onwetend over IT moest beslissen :P

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


Acties:
  • 0 Henk 'm!

  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 09-02 16:04
Je kan tegenwoordig ook pentests via bugcrowd/hackerone enz. inkopen.

Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 08:36
Je hebt verschillende diensten hiervoor je kan zelf wat gaan doen via https://www.vulnerabilityscans.nl/ onderdeel van Sectigo onderandere bekent van de SSL certificaten. Je hebt ook nog Barracuda Vulnerability Manager and Remediation Service als je iets groter wilt gaan. Dan heb je het in eigen hand/beheer

Of je besteed het uit en dan kom je partijen tegen als

Networking4all of Northwave welke je hier graag bij willen helpen. Heb met beide partijen zeer goede ervaring (en nee ik werk er niet :P) Stuur maar een DM als ik je een lead moet geven bij één van deze partijen

[ Voor 6% gewijzigd door HKLM_ op 26-02-2021 20:00 ]

Cloud ☁️


Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 08:25

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

HKLM_ schreef op vrijdag 26 februari 2021 @ 19:58:
Je hebt verschillende diensten hiervoor je kan zelf wat gaan doen via https://www.vulnerabilityscans.nl/ onderdeel van Sectigo onderandere bekent van de SSL certificaten. Je hebt ook nog Barracuda Vulnerability Manager and Remediation Service als je iets groter wilt gaan. Dan heb je het in eigen hand/beheer

Of je besteed het uit en dan kom je partijen tegen als

Networking4all of Northwave welke je hier graag bij willen helpen. Heb met beide partijen zeer goede ervaring (en nee ik werk er niet :P) Stuur maar een DM als ik je een lead moet geven bij één van deze partijen
Eh een kwetsbaarheden scan is echt totaal wat anders dan een penetratietest.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • fonsoy
  • Registratie: Juli 2009
  • Laatst online: 23:23
Op mijn werk wordt er met KPN security gewerkt om ISO27001 te bereiken. Wellicht hebben zij ook interesse in kleinere opdrachten. Ze doen ook scans o.b.v. IP-adressen en ik neem aan dat ze ook pentest-diensten kunnen leveren.

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 08:25

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Ik vraag mij af wat je zelf al hebt onderzocht. Bedrijven die pentesten aanbieden zijn er legio. Waarom of waar voldoen deze niet? "Pragmatisch" en "zo nu en dan" zijn in ieder geval geen goede basis. Dat ruikt erg naar "we doen het omdat het moet" to be honest.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • Luc45
  • Registratie: April 2019
  • Laatst online: 22:16
Er zijn inderdaad genoeg bedrijven die dit kunnen doen, veel bedrijven kunnen ook een vrijblijvende intake en offerte doen. Hierbij kun je al een idee krijgen over de werkwijze en mogelijkheden die er aangeboden worden, zodat je zelf een gevoel krijgt welke partij het beste bij je past.
Prijzen kunnen echter wel erg uiteen lopen, let wel op dat je echt een pentest/vulnerability assessment laat uitvoeren en niet de goedkoopste partij kiest die met een rapportje uit een vulnerability scanner aan komt zetten, goedkoop is wat dat betreft hier echt duurkoop.

Acties:
  • 0 Henk 'm!

  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 06:49
Mijn oude werkgever voert pentesten uit voor grote en kleine klanten. Ik zelf overigens ook :) Er zijn wel marktplaatsen bekend met freelancers, maar ik zou voor pentesten altijd gerenommerde bedrijven gebruiken.

Acties:
  • 0 Henk 'm!

  • armageddon_2k1
  • Registratie: September 2001
  • Laatst online: 25-04 18:21
Wij hadden Sogeti het bij ons laten doen Stelde vrij weinig voor eerlijk gezegd.....
We kunnen alles loggen en er is letterlijk een half uurtje rondegekeken op onze applicaties.

Engineering is like Tetris. Succes disappears and errors accumulate.


Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 08:25

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

armageddon_2k1 schreef op dinsdag 9 maart 2021 @ 12:09:
Wij hadden Sogeti het bij ons laten doen Stelde vrij weinig voor eerlijk gezegd.....
We kunnen alles loggen en er is letterlijk een half uurtje rondegekeken op onze applicaties.
To be honest klinkt dat niet als een pentest, of in ieder geval niet als een goede pentest.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • Midas.e
  • Registratie: Juni 2008
  • Laatst online: 14-04 16:01

Midas.e

Is handig met dinges

Ik heb ervaring met Qbit, goede gasten.

Hacktheplanet / PVOutput


Acties:
  • 0 Henk 'm!

  • Infinion
  • Registratie: Augustus 2000
  • Laatst online: 07:18
Secwatch :)

Acties:
  • +1 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 08:25

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Ik denk dat het vooral goed is om verschillende bedrijven te spreken. In de praktijk verschilt de aanpak en het kennisniveau behoorlijk. Het begint bij het goed helder krijgen wat je precies verlangt. Wat is de scope exact en wat valt daar buiten? Hoeveel informatie / toegang verleen je de pentesters? Moeten de werkzaamheden op locatie worden uitgevoerd of remote? Je bent pas in staat een goede vraag neer te leggen en aanbod te vergelijken wanneer je de wensen en eisen voor jezelf helder hebt. Daarbij moet een bedrijf ook bij je passen. Het simpelweg vermelden van losse bedrijfsnamen zoals ik hier zie gebeuren heeft dan ook weinig zin wat mij betreft.

Mijn advies; maak je plan inclusief alle randvoorwaarden duidelijk, neem contact op met meerdere aanbieders en ga in gesprek.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad is het lukraak opsommen van bedrijven zinloos. En inderdaad: helemaal eens met bovenstaande, incl. dat een vulnerability scan niet gelijk is aan een pentest.

Ikzelf heb overigens op dit gebied alleen maar slechte ervaringen met grote clubs en praten met en na 2 of 3 offertes vergeleken te hebben in zee gaan met relatief kleinere bedrijven. Bij relatief grote opdrachten, maar zeker bij kleinere (geen overhead van drie lagen account managers en twee mensen dedicated voor de illustraties en opmaak van rapporten)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • TutanRamon
  • Registratie: Februari 2001
  • Laatst online: 09-04 10:45
Ik heb goede ervaringen met Forus-P. Zij doen veel scans voor de certificering van Thuiswinkel.org. Daarnaast kunnen zij ook pentests uitvoeren. Zeer pragmatische aanpak!

(Geen persoonlijk belang bij deze aanbeveling!)

[ Voor 11% gewijzigd door TutanRamon op 09-03-2021 14:19 ]

We see things as we are, not as they are


Acties:
  • 0 Henk 'm!

  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 23:07

jurroen

Security en privacy geek

Het is afhankelijk van een aantal factoren; het bedrijf in kwestie, de markt waar ze in zitten, wet- en regelgeving en het budget. Wat @Bor ook al aangaf, jouw verwoording komt ietwat over als "omdat het moet". Ik zou vooral wat afwegingen maken:
  • Wat is de vraag qua pentest? Zoek je een greybox, blackbox, is het een webapplicatie, moet de onderliggende infrastructuur ook geaudit worden, dient de code van de webapplicatie zelf ook geaudit te worden?
  • Wat vereist eventuele wet- en regelgeving? Hoe zit het met de organisatorische beveiliging? Als de webapp geheel veilig is, maar iemand met admin privileges een USB stick kan pluggen, de volledige datadump erop kwakken en vervolgens naar buiten lopen is dat irrelevant.
  • Wat wordt er al gedaan qua beveiliging op technisch vlak? Is er bijvoorbeeld al een CI/CD pipeline waarbij elke commit grondig wordt nagekeken qua hoe veilig het in elkaar zit?
Ja, je kunt waarschijnlijk wel een partij vinden die voor een paar honderd euro op een papiertje schrijft dat het in hun ogen veilig is. En misschien voldoe je daarmee ook aan de gestelde eisen. Echter, in de praktijk bereik je er niets mee.

Een goede, degelijke audit kost misschien wat - maar het geeft ook de handvaten om zaken te verbeteren en te zorgen dat het allemaal veiliger wordt. De kans is vrij hoog dat die kosten in het niet vallen bij het herstel van een hack of datalek; niet alleen de directe kosten, maar ook de opgelopen imagoschade etc.

Ongevraagde verzoeken per DM beantwoord ik niet, sorry


Acties:
  • +1 Henk 'm!

  • DJMaze
  • Registratie: Juni 2002
  • Niet online
Een pentest zonder toegang tot broncode is tijdrovend.
Zie ik de broncode dan ben ik zo binnen.

Makkelijkst is gewoon 1.000.000 sessie id's op de server afvuren en hopen dat je beet hebt. Weet je gelijk of het aantal requests is beveiligd met een limiet en of de sessies goed zijn beveiligd.

Maak je niet druk, dat doet de compressor maar


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Spammen is niet de bedoeling :)

[ Voor 11% gewijzigd door F_J_K op 21-01-2022 14:30 . Reden: Autocorrect typo.. ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1

Dit topic is gesloten.