Cybersecurity is essentieel en komt steeds meer terug binnen diverse standaarden en richtlijnen. Zo ook voor organisaties die DigiD-aansluitingen hebben geïmplementeerd binnen hun oplossingen. Tijdens een DigiD-assessment is een penetratietest een verplicht onderdeel, dit wordt ook wel een ‘’DigiD pentest’’ genoemd. In dit blog gaan we het hebben over de waarde van een pentest en waar je op moet letten tijdens het uitvoeren van een pentest binnen een DigiD-Assessment.
Tozetta is een toonaangevende speler op het gebied van ethical hacking en pentesting. Met onze expertise, geavanceerde tools en ruime ervaring in de DigiD pentests, helpen wij organisaties met het invullen van dit onderdeel. Pentesten blijft een klein onderdeel van een volledig DigiD-assessment, wij houden rekening met de pentest eisen uit de NOREA-Handreiking voor een DigiD-Assessment.
De waarde van een pentest
Of het nu gaat om de ISO27001, NEN7510 of een DigiD Assessment, pentesting komt vaak terug in de richtlijnen van diverse cyber security gerelateerde standaarden. De reden hiervoor is dat het de software en systemen dynamisch en onafhankelijk test op kwetsbaarheden. Wat een pentest uitvoeren nog meer voor waarde biedt:
- Door proactief kwetsbaarheden inzichtelijk te maken, verklein je de kans op potentiële schade
- Inzicht in kwetsbaarheden: Onontdekte beveiligingslekken in webapplicaties en netwerken worden blootgelegd
- Onafhankelijke en offensieve blik: Een externe partij test beveiligingsmaatregelen zoals een echte aanvaller dat zou doen
Of het nu verplicht is of niet, een penetratietest is altijd te overwegen bij verschillende cybersecurity vraagstukken. Het komt dus niet voor niets terug in diverse cybersecurity gerelateerde standaarden en richtlijnen.
DigiD Pentest vereisten
Een DigiD penetratietest moet minimaal jaarlijks worden uitgevoerd en bij significante wijzigingen zoals een nieuwe versie van de applicatie of migratie van systemen. De testomgeving die wordt gebruikt door de ethical hackers moet representatief zijn voor de productieomgeving en zowel bewijs van bevindingen als naleving van normen moet goed worden vastgelegd. Dit laatste is iets wat Tozetta tijdens een DigiD pentest volledig uit handen neemt.
Meer informatie over deze werkwijze? Bekijk hier onze DigiD Pentest >>
Scope van een DigiD penetratietest
De test richt zich op drie hoofdgebieden: de webapplicatie, de webserver en infrastructuur, en het netwerksegment waarin DigiD draait. Binnen de webapplicatie worden invoer- en uitvoervalidatie, gegevens betrouwbaarheid en privacybescherming getest. Voor de webserver en infrastructuur wordt gekeken naar hardening-richtlijnen en configuratiebeheer. Het netwerksegment wordt onderzocht op kwetsbaarheden en beveiligingsfouten.
Rapportagevereisten
De rapportagevereisten voor een pentest zijn in de DigiD-assessment richtlijnen nauwkeurig omschreven. Vaak is de vorm van rapportage meer uitgebreid en wordt er meer gedocumenteerd dan bij een ‘’standaard’’ pentest. Zo bevat een DigiD pentest rapportage een gedetailleerde beschrijving van kwetsbaarheden, gebruikte methodologieën en concrete aanbevelingen.
Waarom pentest uitvoeren bij Tozetta?
Tozetta probeert zich binnen de ethical hacking markt te onderscheiden met een specifieke focus op offensief testen. Veel partijen voeren pentesten uit naast andere werkzaamheden. Door onze focus zijn wij dé specialist en volledig onafhankelijk. Zo verkoopt Tozetta geen Cyber Security of IT oplossingen in tegenstelling tot andere IT- of Security partijen die tevens pentesten uitvoeren (met bijbehorend advies).
Interactief kwetsbaarheden portaal
Dankzij onze focus heeft Tozetta het kwetsbaarhedenportaal ‘Tozetta Reports’ ontwikkeld, waarin kwetsbaarheden worden weergegeven. Wij faciliteren op een interactieve manier bij het informeren over en verhelpen van deze kwetsbaarheden bij onze relaties. Deze unieke vorm van rapporteren zorgt voor meer inzicht bij relaties en een nauwere samenwerking tussen Tozetta en de eindklant.
Aantoonbare expertise binnen de ethical hacking wereld
Tozetta heeft ruime ervaring in het uitvoeren van DigiD-pentests. Onze ethische hackers zijn hooggekwalificeerd en in het bezit van certificeringen van Offensive Security (OffSec.com). Naast dat Ethical hacking het beroep is van onze experts, is het tevens hun passie.
Dit blijkt uit de participatie aan diverse ethical hacking wedstrijden, waaronder “Hâck the Hague“. Bij deze wedstrijd wist Tozetta zelfs de eerste plek te behalen. Hack the Hague is een prestigieuze hackingwedstrijd waar ethische hackers kwetsbaarheden in systemen van de gemeente Den Haag identificeren. Lees hier meer over onze overwinning.
Continu inzicht in kwetsbaarheden
Volgens diverse richtlijnen is het gewenst om ”continu kwetsbaarheden binnen software en systemen” inzichtelijk te maken. Naast een losse DigiD pentest, kun je ook kiezen voor het ”Hacking as a Service” abonnement van Tozetta. Naast een frequente pentest biedt Tozetta een Vulnerability monitor die dagelijks scant op kwetsbaarheden in het interne netwerk of op de webapplicatie.
Meer info? Neem contact op met Tozetta.
Kosteloos 1 uur pentesten?
Bij Tozetta kun je vrijblijvend een Pentest Quickscan aanvragen. Tijdens de Quickscan gaat een ethisch hacker kosteloos één uur een pentest uitvoeren. In dit uur maakt de ethisch hacker het aanvalsoppervlak inzichtelijk. Op basis hiervan kan een urenindicatie voor jullie vraagstuk worden bepaald en krijgen jullie inzicht in de mogelijke pentest kosten. Interesse in een pentest uitvoeren? Vul vrijblijvend onderstaand formulier in!
Vraag een Quickscan aan
- Gratis advies
- Vrijblijvend
- Vernieuwde inzichten
