Toon posts:

Goede pentest-dienstverleners

Pagina: 1
Acties:
  • 1.369 views

Vraag


  • Dedun
  • Registratie: November 2003
  • Laatst online: 30-01 17:47
Op mijn werk moet er nu en dan een pentest plaatsvinden op bv. een portaal en een stuk van de back-end.

Om die reden zijn we op zoek naar een bedrijf dat goed kan omgaan met kleinere opdrachten en deze op een pragmatische manier invulling kan geven.

Zijn hier wellicht marketplaces voor? Of heeft iemand erg positieve ervaringen met bedrijven die vergelijkbare pentests hebben uitgevoerd? Alle hulp is welkom, alleen sales pitches zal ik niet zo interessant vinden :)

Alle reacties


  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 21:45

The Eagle

I wear my sunglasses at night

Marketplaces geen idee. Ik weet dat mijn werkgever het aanbiedt en qua grootte opdracht maakt dat bij ons iig weinig uit en kan er in overleg heel veel, dus ook kleinschalig. DM voor meer info mocht je dat willen :)

Weet ook dat er andere bedrijven zijn die het doen, maar de offertes die ik daarvan gezien heb waren de hoofdprijs. Ik heb zelfs 35k voor een paar dagen werk plus rapportje gezien bij een overheidsklant waar ik zat. Werd grif betaald, maar dat had meer te maken met beleid = beleid en een inkoper die onwetend over IT moest beslissen :P

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 21-02 00:27
Je kan tegenwoordig ook pentests via bugcrowd/hackerone enz. inkopen.

  • HKLM_
  • Registratie: Februari 2009
  • Nu online
Je hebt verschillende diensten hiervoor je kan zelf wat gaan doen via https://www.vulnerabilityscans.nl/ onderdeel van Sectigo onderandere bekent van de SSL certificaten. Je hebt ook nog Barracuda Vulnerability Manager and Remediation Service als je iets groter wilt gaan. Dan heb je het in eigen hand/beheer

Of je besteed het uit en dan kom je partijen tegen als

Networking4all of Northwave welke je hier graag bij willen helpen. Heb met beide partijen zeer goede ervaring (en nee ik werk er niet :P) Stuur maar een DM als ik je een lead moet geven bij één van deze partijen

[Voor 6% gewijzigd door HKLM_ op 26-02-2021 20:00]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • Bor
  • Registratie: Februari 2001
  • Laatst online: 21-03 17:46

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

HKLM_ schreef op vrijdag 26 februari 2021 @ 19:58:
Je hebt verschillende diensten hiervoor je kan zelf wat gaan doen via https://www.vulnerabilityscans.nl/ onderdeel van Sectigo onderandere bekent van de SSL certificaten. Je hebt ook nog Barracuda Vulnerability Manager and Remediation Service als je iets groter wilt gaan. Dan heb je het in eigen hand/beheer

Of je besteed het uit en dan kom je partijen tegen als

Networking4all of Northwave welke je hier graag bij willen helpen. Heb met beide partijen zeer goede ervaring (en nee ik werk er niet :P) Stuur maar een DM als ik je een lead moet geven bij één van deze partijen
Eh een kwetsbaarheden scan is echt totaal wat anders dan een penetratietest.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


  • fonsoy
  • Registratie: Juli 2009
  • Laatst online: 07:45
Op mijn werk wordt er met KPN security gewerkt om ISO27001 te bereiken. Wellicht hebben zij ook interesse in kleinere opdrachten. Ze doen ook scans o.b.v. IP-adressen en ik neem aan dat ze ook pentest-diensten kunnen leveren.

Lenovo W520 - i7 2720QM - 8GB DDR3 1333Mhz - 1080p - Nvidia 1000M - 9 cell accu


  • Bor
  • Registratie: Februari 2001
  • Laatst online: 21-03 17:46

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Ik vraag mij af wat je zelf al hebt onderzocht. Bedrijven die pentesten aanbieden zijn er legio. Waarom of waar voldoen deze niet? "Pragmatisch" en "zo nu en dan" zijn in ieder geval geen goede basis. Dat ruikt erg naar "we doen het omdat het moet" to be honest.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


  • Luc45
  • Registratie: April 2019
  • Laatst online: 21-03 15:56
Er zijn inderdaad genoeg bedrijven die dit kunnen doen, veel bedrijven kunnen ook een vrijblijvende intake en offerte doen. Hierbij kun je al een idee krijgen over de werkwijze en mogelijkheden die er aangeboden worden, zodat je zelf een gevoel krijgt welke partij het beste bij je past.
Prijzen kunnen echter wel erg uiteen lopen, let wel op dat je echt een pentest/vulnerability assessment laat uitvoeren en niet de goedkoopste partij kiest die met een rapportje uit een vulnerability scanner aan komt zetten, goedkoop is wat dat betreft hier echt duurkoop.

  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 07:23
Mijn oude werkgever voert pentesten uit voor grote en kleine klanten. Ik zelf overigens ook :) Er zijn wel marktplaatsen bekend met freelancers, maar ik zou voor pentesten altijd gerenommerde bedrijven gebruiken.

  • armageddon_2k1
  • Registratie: September 2001
  • Laatst online: 21-03 17:28
Wij hadden Sogeti het bij ons laten doen Stelde vrij weinig voor eerlijk gezegd.....
We kunnen alles loggen en er is letterlijk een half uurtje rondegekeken op onze applicaties.

Engineering is like Tetris. Succes disappears and errors accumulate.


  • Bor
  • Registratie: Februari 2001
  • Laatst online: 21-03 17:46

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

armageddon_2k1 schreef op dinsdag 9 maart 2021 @ 12:09:
Wij hadden Sogeti het bij ons laten doen Stelde vrij weinig voor eerlijk gezegd.....
We kunnen alles loggen en er is letterlijk een half uurtje rondegekeken op onze applicaties.
To be honest klinkt dat niet als een pentest, of in ieder geval niet als een goede pentest.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


  • Midas.e
  • Registratie: Juni 2008
  • Laatst online: 20-03 20:40

Midas.e

Is handig met dinges

Ik heb ervaring met Qbit, goede gasten.

Hacktheplanet.nl


  • Infinion
  • Registratie: Augustus 2000
  • Laatst online: 06:42
Secwatch :)

Acties:
  • +1Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 21-03 17:46

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Ik denk dat het vooral goed is om verschillende bedrijven te spreken. In de praktijk verschilt de aanpak en het kennisniveau behoorlijk. Het begint bij het goed helder krijgen wat je precies verlangt. Wat is de scope exact en wat valt daar buiten? Hoeveel informatie / toegang verleen je de pentesters? Moeten de werkzaamheden op locatie worden uitgevoerd of remote? Je bent pas in staat een goede vraag neer te leggen en aanbod te vergelijken wanneer je de wensen en eisen voor jezelf helder hebt. Daarbij moet een bedrijf ook bij je passen. Het simpelweg vermelden van losse bedrijfsnamen zoals ik hier zie gebeuren heeft dan ook weinig zin wat mij betreft.

Mijn advies; maak je plan inclusief alle randvoorwaarden duidelijk, neem contact op met meerdere aanbieders en ga in gesprek.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Inderdaad is het lukraak opsommen van bedrijven zinloos. En inderdaad: helemaal eens met bovenstaande, incl. dat een vulnerability scan niet gelijk is aan een pentest.

Ikzelf heb overigens op dit gebied alleen maar slechte ervaringen met grote clubs en praten met en na 2 of 3 offertes vergeleken te hebben in zee gaan met relatief kleinere bedrijven. Bij relatief grote opdrachten, maar zeker bij kleinere (geen overhead van drie lagen account managers en twee mensen dedicated voor de illustraties en opmaak van rapporten)

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • TutanRamon
  • Registratie: Februari 2001
  • Laatst online: 20-03 10:43
Ik heb goede ervaringen met Forus-P. Zij doen veel scans voor de certificering van Thuiswinkel.org. Daarnaast kunnen zij ook pentests uitvoeren. Zeer pragmatische aanpak!

(Geen persoonlijk belang bij deze aanbeveling!)

[Voor 11% gewijzigd door TutanRamon op 09-03-2021 14:19]

We see things as we are, not as they are


  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 23:53

jurroen

Security en privacy geek

Het is afhankelijk van een aantal factoren; het bedrijf in kwestie, de markt waar ze in zitten, wet- en regelgeving en het budget. Wat @Bor ook al aangaf, jouw verwoording komt ietwat over als "omdat het moet". Ik zou vooral wat afwegingen maken:
  • Wat is de vraag qua pentest? Zoek je een greybox, blackbox, is het een webapplicatie, moet de onderliggende infrastructuur ook geaudit worden, dient de code van de webapplicatie zelf ook geaudit te worden?
  • Wat vereist eventuele wet- en regelgeving? Hoe zit het met de organisatorische beveiliging? Als de webapp geheel veilig is, maar iemand met admin privileges een USB stick kan pluggen, de volledige datadump erop kwakken en vervolgens naar buiten lopen is dat irrelevant.
  • Wat wordt er al gedaan qua beveiliging op technisch vlak? Is er bijvoorbeeld al een CI/CD pipeline waarbij elke commit grondig wordt nagekeken qua hoe veilig het in elkaar zit?
Ja, je kunt waarschijnlijk wel een partij vinden die voor een paar honderd euro op een papiertje schrijft dat het in hun ogen veilig is. En misschien voldoe je daarmee ook aan de gestelde eisen. Echter, in de praktijk bereik je er niets mee.

Een goede, degelijke audit kost misschien wat - maar het geeft ook de handvaten om zaken te verbeteren en te zorgen dat het allemaal veiliger wordt. De kans is vrij hoog dat die kosten in het niet vallen bij het herstel van een hack of datalek; niet alleen de directe kosten, maar ook de opgelopen imagoschade etc.

Acties:
  • +1Henk 'm!

  • DJMaze
  • Registratie: Juni 2002
  • Niet online
Een pentest zonder toegang tot broncode is tijdrovend.
Zie ik de broncode dan ben ik zo binnen.

Makkelijkst is gewoon 1.000.000 sessie id's op de server afvuren en hopen dat je beet hebt. Weet je gelijk of het aantal requests is beveiligd met een limiet en of de sessies goed zijn beveiligd.

Maak je niet druk, dat doet de compressor maar


  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Spammen is niet de bedoeling :)

[Voor 11% gewijzigd door F_J_K op 21-01-2022 14:30. Reden: Autocorrect typo..]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1

Dit topic is gesloten.


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee