Reikwijdte

Reikwijdte
Photo by Alvaro Reyes / Unsplash

De reikwijdte (scope) van een penetratietest, of pentest, is een cruciaal onderdeel van de planning en uitvoering van de test. Het bepaalt de grenzen van wat wel en niet getest zal worden. De scope is typisch afhankelijk van de doelstellingen van de organisatie en de vereisten van eventuele regelgeving. Hier zijn enkele dingen die meestal worden gedefinieerd in de scope:

  1. Systemen en Netwerken: De scope bepaalt welke systemen en netwerken worden getest. Dit kunnen bijvoorbeeld servers, werkstations, netwerkapparaten (routers, switches, firewalls, enz.), en andere systemen zijn. Het kan ook specifieke web- of mobiele applicaties omvatten.
  2. Testtypes: De scope kan ook bepalen welk type pentest wordt uitgevoerd. Dit kan bijvoorbeeld een white-box test zijn (waarbij de tester toegang heeft tot broncode of systeemarchitectuur), een black-box test (waarbij de tester geen voorkennis heeft van het systeem), of een grey-box test (een combinatie van beide).
  3. Tijdsbestek: De scope zal ook het tijdsbestek voor de test bepalen. Dit kan variƫren van enkele dagen tot meerdere weken, afhankelijk van de omvang en complexiteit van de systemen die worden getest.
  4. Testlocaties: De scope kan ook bepalen waar de testen zullen plaatsvinden. Dit kan bijvoorbeeld op locatie zijn, op afstand, of een combinatie van beide.
  5. Mensen en rollen: Wie betrokken zal zijn bij de test en wat hun rollen zullen zijn, is ook onderdeel van de scope. Dit kan de testteam, de IT-medewerkers van de organisatie, en eventuele derde partijen omvatten.
  6. Beperkingen: De scope kan ook eventuele beperkingen aangeven die van toepassing zijn op de test. Dit kan bijvoorbeeld gaan over bepaalde acties die niet mogen worden uitgevoerd (zoals het uitvoeren van denial of service-aanvallen), of tijdslimieten voor wanneer testen kunnen plaatsvinden (bijvoorbeeld alleen tijdens niet-kantooruren).

Een goed gedefinieerde scope is cruciaal om ervoor te zorgen dat de pentest effectief is en aan de verwachtingen van de organisatie voldoet. Het helpt ook om eventuele misverstanden te voorkomen en zorgt ervoor dat de test op een verantwoorde en ethische manier wordt uitgevoerd.