Wat zit er in een Pentest rapport?

De definitie van een Penetration test is: een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. (Volgens wikipedia)

We gaan dus op zoek naar kwetsbaarheden die door aanvallers kunnen misbruikt worden, om op zodanige manier toegang te verkrijgen tot iets dat niet de bedoeling is. Dat is dus wat wij doen. Maar elk van onze projecten heeft altijd een rapport. Anders zou jij als bedrijf er ook niet veel aan hebben ;).

Elk rapport dat ZeroBit oplevert, zullen de volgende zaken terug te vinden zijn:

1. Een management summary, waarin het management in een oogopslag kan zien wat er juist gebeurt is, en hoe erg (of hoe goed!) het gesteld is.

2. Een opsomming van alle observaties dat in het rapport besproken worden, inclusief hun risk rating.

3. Hierna gaan we in detail per observatie en bespreken we de volgende zaken:

1. Omschrijving: Wat is de observatie eigenlijk, en waarom vinden we dit waardig om in het rapport te komen.

2. Kans: Wat is de kans dat deze observatie zal misbruikt worden door een aanvaller?

3. Impact: als het toch gebeurt dat een aanvaller deze kwetsbaarheid kan misbruiken, wat betekent dit dan voor ons bedrijf

4. Aanbeveling: wat moeten we doen om dit te verhelpen?

5. Proof of concept: Een vorm van bewijs van hoe we dit bekomen zijn. Ideaal om na de aanbeveling na te gaan of het effectief opgelost is.

4. Tot slot is er steeds een Annex terug te vinden. Hier zullen we bijvoorbeeld uitleggen hoe we de score van de observaties berekend hebben. Indien van toepassing voegen we hier ook wat extra rapporten bij. Denk maar aan lange lijsten van informatie die niet meteen een meerwaarde hebben in het rapport.

Dit alles wordt uiteraard voorzien op de nodige layout en controle. Wij hechten zeer veel belang aan de kwaliteit die bij ons “de deur” uitgaat.