Goede pentest-dienstverleners

Marketplaces geen idee. Ik weet dat mijn werkgever het aanbiedt en qua grootte opdracht maakt dat bij ons iig weinig uit en kan er in overleg heel veel, dus ook kleinschalig. DM voor meer info mocht je dat willen

Weet ook dat er andere bedrijven zijn die het doen, maar de offertes die ik daarvan gezien heb waren de hoofdprijs. Ik heb zelfs 35k voor een paar dagen werk plus rapportje gezien bij een overheidsklant waar ik zat. Werd grif betaald, maar dat had meer te maken met beleid = beleid en een inkoper die onwetend over IT moest beslissen

Je kan tegenwoordig ook pentests via bugcrowd/hackerone enz. inkopen.

Je hebt verschillende diensten hiervoor je kan zelf wat gaan doen via https://www.vulnerabilityscans.nl/ onderdeel van Sectigo onderandere bekent van de SSL certificaten. Je hebt ook nog Barracuda Vulnerability Manager and Remediation Service als je iets groter wilt gaan. Dan heb je het in eigen hand/beheer

Of je besteed het uit en dan kom je partijen tegen als

Networking4all of Northwave welke je hier graag bij willen helpen. Heb met beide partijen zeer goede ervaring (en nee ik werk er niet ) Stuur maar een DM als ik je een lead moet geven bij één van deze partijen

[Voor 6% gewijzigd door HKLM_ op 26-02-2021 20:00]

HKLM_ schreef op vrijdag 26 februari 2021 @ 19:58:
Je hebt verschillende diensten hiervoor je kan zelf wat gaan doen via https://www.vulnerabilityscans.nl/ onderdeel van Sectigo onderandere bekent van de SSL certificaten. Je hebt ook nog Barracuda Vulnerability Manager and Remediation Service als je iets groter wilt gaan. Dan heb je het in eigen hand/beheer

Of je besteed het uit en dan kom je partijen tegen als

Networking4all of Northwave welke je hier graag bij willen helpen. Heb met beide partijen zeer goede ervaring (en nee ik werk er niet ) Stuur maar een DM als ik je een lead moet geven bij één van deze partijen

Eh een kwetsbaarheden scan is echt totaal wat anders dan een penetratietest.

Op mijn werk wordt er met KPN security gewerkt om ISO27001 te bereiken. Wellicht hebben zij ook interesse in kleinere opdrachten. Ze doen ook scans o.b.v. IP-adressen en ik neem aan dat ze ook pentest-diensten kunnen leveren.

Ik vraag mij af wat je zelf al hebt onderzocht. Bedrijven die pentesten aanbieden zijn er legio. Waarom of waar voldoen deze niet? "Pragmatisch" en "zo nu en dan" zijn in ieder geval geen goede basis. Dat ruikt erg naar "we doen het omdat het moet" to be honest.

Er zijn inderdaad genoeg bedrijven die dit kunnen doen, veel bedrijven kunnen ook een vrijblijvende intake en offerte doen. Hierbij kun je al een idee krijgen over de werkwijze en mogelijkheden die er aangeboden worden, zodat je zelf een gevoel krijgt welke partij het beste bij je past.
Prijzen kunnen echter wel erg uiteen lopen, let wel op dat je echt een pentest/vulnerability assessment laat uitvoeren en niet de goedkoopste partij kiest die met een rapportje uit een vulnerability scanner aan komt zetten, goedkoop is wat dat betreft hier echt duurkoop.

Mijn oude werkgever voert pentesten uit voor grote en kleine klanten. Ik zelf overigens ook Er zijn wel marktplaatsen bekend met freelancers, maar ik zou voor pentesten altijd gerenommerde bedrijven gebruiken.

Wij hadden Sogeti het bij ons laten doen Stelde vrij weinig voor eerlijk gezegd.....
We kunnen alles loggen en er is letterlijk een half uurtje rondegekeken op onze applicaties.

armageddon_2k1 schreef op dinsdag 9 maart 2021 @ 12:09:
Wij hadden Sogeti het bij ons laten doen Stelde vrij weinig voor eerlijk gezegd.....
We kunnen alles loggen en er is letterlijk een half uurtje rondegekeken op onze applicaties.

To be honest klinkt dat niet als een pentest, of in ieder geval niet als een goede pentest.

Ik heb ervaring met Qbit, goede gasten.

Secwatch

Ik denk dat het vooral goed is om verschillende bedrijven te spreken. In de praktijk verschilt de aanpak en het kennisniveau behoorlijk. Het begint bij het goed helder krijgen wat je precies verlangt. Wat is de scope exact en wat valt daar buiten? Hoeveel informatie / toegang verleen je de pentesters? Moeten de werkzaamheden op locatie worden uitgevoerd of remote? Je bent pas in staat een goede vraag neer te leggen en aanbod te vergelijken wanneer je de wensen en eisen voor jezelf helder hebt. Daarbij moet een bedrijf ook bij je passen. Het simpelweg vermelden van losse bedrijfsnamen zoals ik hier zie gebeuren heeft dan ook weinig zin wat mij betreft.

Mijn advies; maak je plan inclusief alle randvoorwaarden duidelijk, neem contact op met meerdere aanbieders en ga in gesprek.

Inderdaad is het lukraak opsommen van bedrijven zinloos. En inderdaad: helemaal eens met bovenstaande, incl. dat een vulnerability scan niet gelijk is aan een pentest.

Ikzelf heb overigens op dit gebied alleen maar slechte ervaringen met grote clubs en praten met en na 2 of 3 offertes vergeleken te hebben in zee gaan met relatief kleinere bedrijven. Bij relatief grote opdrachten, maar zeker bij kleinere (geen overhead van drie lagen account managers en twee mensen dedicated voor de illustraties en opmaak van rapporten)

Ik heb goede ervaringen met Forus-P. Zij doen veel scans voor de certificering van Thuiswinkel.org. Daarnaast kunnen zij ook pentests uitvoeren. Zeer pragmatische aanpak!

(Geen persoonlijk belang bij deze aanbeveling!)

[Voor 11% gewijzigd door TutanRamon op 09-03-2021 14:19]

Het is afhankelijk van een aantal factoren; het bedrijf in kwestie, de markt waar ze in zitten, wet- en regelgeving en het budget. Wat @Bor ook al aangaf, jouw verwoording komt ietwat over als "omdat het moet". Ik zou vooral wat afwegingen maken:

• Wat is de vraag qua pentest? Zoek je een greybox, blackbox, is het een webapplicatie, moet de onderliggende infrastructuur ook geaudit worden, dient de code van de webapplicatie zelf ook geaudit te worden?
• Wat vereist eventuele wet- en regelgeving? Hoe zit het met de organisatorische beveiliging? Als de webapp geheel veilig is, maar iemand met admin privileges een USB stick kan pluggen, de volledige datadump erop kwakken en vervolgens naar buiten lopen is dat irrelevant.
• Wat wordt er al gedaan qua beveiliging op technisch vlak? Is er bijvoorbeeld al een CI/CD pipeline waarbij elke commit grondig wordt nagekeken qua hoe veilig het in elkaar zit?

Ja, je kunt waarschijnlijk wel een partij vinden die voor een paar honderd euro op een papiertje schrijft dat het in hun ogen veilig is. En misschien voldoe je daarmee ook aan de gestelde eisen. Echter, in de praktijk bereik je er niets mee.

Een goede, degelijke audit kost misschien wat - maar het geeft ook de handvaten om zaken te verbeteren en te zorgen dat het allemaal veiliger wordt. De kans is vrij hoog dat die kosten in het niet vallen bij het herstel van een hack of datalek; niet alleen de directe kosten, maar ook de opgelopen imagoschade etc.

Een pentest zonder toegang tot broncode is tijdrovend.
Zie ik de broncode dan ben ik zo binnen.

Makkelijkst is gewoon 1.000.000 sessie id's op de server afvuren en hopen dat je beet hebt. Weet je gelijk of het aantal requests is beveiligd met een limiet en of de sessies goed zijn beveiligd.

Spammen is niet de bedoeling

[Voor 11% gewijzigd door F_J_K op 21-01-2022 14:30. Reden: Autocorrect typo..]