Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over dé valkuil voor pentests: het bepalen van bereik daarvoor.
Het lijkt zinnig om tests gericht te laten uitvoeren. Het bepalen van een bereik is niet alleen nuttig vanwege het risico van enorm uitdijende kosten voor dat testen. Het stellen van zogeheten scope is natuurlijk ook nuttig om daarna gericht te kunnen verbeteren. Alleen is security nu net zo’n breed en belangrijk gebied dat het beperken van pentests middels vooraf opgelegde scope funest kan zijn.
Security-experts die worden ingezet – en soms extern ingehuurd – om te proberen binnen te komen, worden zo aan handen en voeten gebonden. De test of systemen zijn te penetreren heeft dan weinig tot geen nut. Sterker nog: het kan een vals gevoel van veiligheid geven. Want kwaadwillenden beperken zichzelf immers niet tot bepaalde gebieden of systemen. Zij proberen juist alles om maar binnen te komen. Dit wil niet zeggen dat scope verboden zou moeten worden. Scope moet wel wijselijk worden ingezet. Wat vind jij?
