Een penetratietest, of pentest, is een gecontroleerde aanval op je eigen systemen, uitgevoerd door een vertrouwde beveiligingsexpert. Het doel is simpel: de gaten vinden voordat een crimineel dat doet. De tester gedraagt zich als een aanvaller, peutert aan je website, app, netwerk of inlogflow, en schrijft daarna precies op waar hij binnenkwam en hoe je het dichttimmert.
Zie het als een professionele inbreker inhuren die in je huis probeert te komen terwijl jij toekijkt. Hij rammelt aan de ramen, test de achterdeur, probeert de reservesleutel onder de mat en geeft je daarna een rapport: ‘dit slot is zwak en dat raam sluit niet goed’. Er wordt niets gestolen, maar je weet precies waar je kwetsbaar bent. Dit is handwerk van een ethisch hacker, en dat onderscheidt het van een geautomatiseerde vulnerability scan die alleen bekende problemen aanstipt.
De meeste tests volgen een erkend draaiboek zoals de OWASP Top 10, zodat de bekende, gevaarlijke fouten als eerste worden gecheckt. Een tester vindt bijvoorbeeld dat je inlogformulier verraadt of een e-mailadres bestaat, gokt daarmee geldige accounts en kraakt er eentje met een zwak wachtwoord. Drie kleine dingen, aan elkaar geknoopt tot een volledige accountovername. Wat je opgeleverd krijgt, is een lijst met bevindingen op volgorde van ernst, elk met een duidelijke oplossing. Dat rapport is de echte waarde, niet de aanval zelf.
Bij TopDevs zien we een pentest als ijkpunt voordat we iets opleveren dat met geld of persoonsgegevens werkt, en we zorgen dat elke bevinding wordt opgelost en opnieuw getest, niet alleen weggearchiveerd.