Standaarden en best practices voor pentesting

Standaarden en best practices voor pentesting

Bij Secura streven wij ernaar om veiligheid tastbaarder, begrijpelijker en meetbaarder te maken. Daarom maken wij zoveel mogelijk gebruik van internationale normen en standaarden.

Zo weet u en kunt u vergelijken welk beveiligingsniveau een systeem heeft, en krijgt u zekerheid over de diepgang en breedte van het testen. Secura werkt samen met meerdere organisaties zoals OWASP en Cyberveilig Nederland om de adoptie van dergelijke standaarden en frameworks naar een hoger niveau te brengen.

Secura volgt voor haar assessments een gefaseerde aanpak en hanteert richtlijnen en standaarden die binnen uw branche gangbaar zijn voor het uitvoeren van (applicatie-, infrastructuur- of andere) assessments. Deze zijn afhankelijk van het doel, de te beoordelen omgeving (architectuur, platform, applicatie, etc.), sector eisen of regelgeving per land.

Voorbeelden van standaarden die wij gebruiken:

• Application Security Validation Standard (ASVS) voor (web)applicaties;
  
• Relevante OWASP publicaties zoals de Top 10 en de ASVS, ondersteund door de OWASP Application Security Testing Guide;
• SANS-top 25: de meest voorkomende en gevaarlijkste fouten bij het maken van software;
• CIS-basisrichtlijnen voor infrastructuur- en configuratiebeoordelingen;
• Relevante NIST-richtlijnen over bijvoorbeeld wachtwoord- en sleutelbeheer;
• NCSC ICT-beveiligingsrichtlijnen voor webapplicaties en de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS);
• Baseline Informatiebeveiliging Overheid (BIO);
• De OWASP Testgids versie 3 en 4 met het OWASP Web Service Security Cheat Sheet, indien relevant;
• M-ASVS voor mobiele applicaties (Mobile ASVS);
• Logius standaarden voor DigiD assessments;
• STRIDE methodologie in Threat Modeling;
• OWASP Mobile Top 10;
• Actuele informatie van (software)leveranciers zoals Google, Apple, Amazon, Microsoft, et cetera.