Je hebt het budget goedgekeurd. Je hebt een pentestbedrijf ingehuurd. En nu zit je op je kantoor en vraag je je af: wat doen die mensen eigenlijk de hele dag? Breken ze nu in? Moeten we de politie bellen? Is het normaal dat de printer ineens Russisch print?
Laten we het mysterie ontrafelen. Want een pentest is een stuk minder filmisch dan je denkt — en een stuk nuttiger dan je hoopt.
Fase 1: Het gesprek dat niemand sexy vindt
Elke pentest begint met een gesprek. Niet met een hoodie-dragende figuur in een donkere kelder, maar met een projectmanager die vraagt: "Wat is de scope?" En "Hebben jullie een testomgeving?" En "Wie mogen we bellen als we per ongeluk de productiedatabase platleggen?"
Dit is de intake. Het is net zo opwindend als het klinkt. Maar het is ook het verschil tussen een professionele pentest en iemand die willekeurig op knoppen drukt. Er worden afspraken gemaakt over wat er getest wordt, wanneer, en wat er absoluut niet mag gebeuren. Zoals de productieomgeving laten crashen op vrijdagmiddag. Of ooit.
Fase 2: Reconnaissance — ofwel: heel goed kijken
De eerste echte werkdag van een pentester ziet er niet uit als een actiefilm. Het ziet eruit als iemand die heel geconcentreerd naar een beeldscherm staart. Met af en toe een "hm" of "interessant" of "oh nee".
Dit is de verkenningsfase. De pentester brengt in kaart wat er allemaal te vinden is: welke systemen draaien er, welke poorten staan open, welke software wordt gebruikt, en welke versie daarvan. Het is een beetje alsof je om een gebouw heen loopt en alle deuren en ramen controleert voordat je besluit welke je gaat proberen.
Het verschil met een echte inbreker is dat de pentester alles opschrijft. Elke deur, elk raam, elke kier. Want het gaat niet om binnenkomen — het gaat om aantonen dat binnenkomen mogelijk is.
Fase 3: Exploitatie — het spannende stuk
Nu wordt het interessant. De pentester heeft een lijst van mogelijke zwakke plekken en gaat die systematisch testen. SQL-injectie hier, een standaardwachtwoord daar, een verouderde library die al drie jaar een patch mist.
Wat opvalt: de meest spectaculaire vondsten komen zelden van briljante hacks. Ze komen van vergeten testaccounts met het wachtwoord "Test1234", van beheerportalen die zonder wachtwoord toegankelijk zijn, of van API-endpoints die meer data teruggeven dan de bedoeling is.
Het is minder Ocean's Eleven en meer iemand heeft de achterdeur open laten staan.
Fase 4: Het rapport — waar het om draait
Hier zit de echte waarde. Een pentester die alleen maar binnenkomt en "gelukt!" roept, is als een dokter die zegt "u bent ziek" en dan wegloopt. Het rapport beschrijft wat er gevonden is, hoe erg het is (met CVSS-scores), hoe het uitgebuit kan worden, en — cruciaal — wat je eraan moet doen.
Een goed rapport is leesbaar voor zowel de technische als de bestuurlijke laag. De IT-afdeling krijgt concrete stappen: "Update Apache naar versie X, stel deze header in, schakel die functie uit." De directie krijgt de samenvatting: "Er zijn drie kritieke kwetsbaarheden gevonden die directe actie vereisen."
Wat je ermee wint
Een pentest is geen examen dat je kunt zakken. Het is een röntgenfoto. Je wilt niet horen dat alles in orde is — je wilt weten waar het niet in orde is, zodat je het kunt fixen voordat iemand anders het ontdekt. Iemand die minder vriendelijk is. En die geen rapport schrijft.
Benieuwd wat een pentest voor jouw organisatie kan betekenen? Vraag een vrijblijvend gesprek aan.