Rapportage

Na afloop van onze audit zullen wij een uitgebreide rapportage opstellen. De rapportage zal alle bevindingen van de audit bevatten in duidelijke taal omschreven.

Website audits

We bieden drie soorten website audit pakketten. Hieronder leggen we beknopt uit wat u van ons ontvangt nadat de audit is uitgevoerd.

Website audit basis

Bij het Basispakket zal u een automatisch gegenereerd rapport van ons ontvangen. Dit uitgebreide rapport bevat alle informatie die onze scanners over uw site hebben kunnen vinden. U kunt deze informatie gebruiken om de veiligheid van uw site te verbeteren.

Website audit uitgebreid

Bij het uitgebreide pakket zal een van onze gecertificeerde auditors de resultaten van de scans analyseren. Van de informatie uit het automatisch gegenereerde rapport zal een uitgebreide rapportage gemaakt worden waarin gevonden problemen uitgebreid beschreven worden. Aan de hand van deze extra informatie kunnen uw ontwikkelaars de gevonden problemen eenvoudig verhelpen.

Website audit compleet

Bij het complete pakket zullen onze auditors naast het uitvoeren van een geautomatiseerde scan ook uw website handmatig controleren op beveiligingsproblemen. Een geautomatiseerde scan houdt zich aan bepaalde protocollen waardoor problemen over het hoofd kunnen worden gezien. De auditor zal al het handmatige werk dat aan uw site gebeurd loggen en dit zal uiteindelijk in de rapportage terugkomen. Eventueel gevonden problemen zullen beschreven worden en naast een beschrijving van het probleem zal er indien mogelijk tevens een Proof of Concept meegeleverd worden.

Netwerk Audit

Tijdens een netwerk audit komt er veel informatie bij kijken. Al deze informatie wordt bijgehouden in een logboek. Dit is belangrijk tijdens deze audit immers kan informatie dat in het beginstadium wordt gevonden later worden gebruikt. Bij een netwerk kunnen dit onder andere de volgende zaken zijn:

  • Hosts of servers die toegangkelijk zijn vanaf het internet
  • IP adressen die bij de servers horen
  • Services die binnen uw netwerk draaien
  • Domeinen die teruggevonden zijn
  • IoT apparaten (routers, switches, telefoons, etc..)

Afhankelijk van de door u gedefineerde scope zullen we de gevonden onderdelen van uw netwerk verder gaan onderzoeken. Tijdens deze onderzoeken zullen gevonden problemen tevens worden gelogd. U krijgt een lijst met kwatsbaarheden uit uw netwerk en bij welk specifiek systeem deze horen. Tevens zal er een risicofactor aan gehangen zijn (Laag, Gemiddeld, Hoog of Kritiek). Verder kan het zijn dat er zaken gevonden worden wat niet direct een kwetsbaarheid is, maar bijvoorbeeld een configuratiefout of een achterstallige update wat anders soort problemen verhelpt. Dit soort resultaten zullen in het rapport opgenomen worden als Informatief.

Indien mogelijk zal er ook bij de netwerk audit voor gevonden problemen een Proof of Concept gemaakt worden. Hiermee zou u het probleem moeten kunnen reproduceren wat het makkelijker zou kunnen maken om het probleem te begrijpen en/of op te lossen.

Software Audit

Een software audit bestaat uit verschillende onderdelen. Uit ieder onderdeel kunnen verschillende soorten resultaten komen. Al deze resultaten zullen uiteindelijke in het rapport opgenomen worden. De belangrijkste onderdelen zullen we hieronder kort omschrijven met de informatie dat u van ons krijgt:

Fuzzing

Alle mogelijke vormen van invoer zullen bestookt worden met invoer anders dan dat er van de gebruiker wordt verwacht. Dit kan er toe lijden dat het programma handelingen uitvoert die niet door de ontwikkelaars bedoeld zijn. Wanneer dit gebeurd zal hiervan een omschrijving in de rapportage worden geplaatst.

Reverse engineering

Uw applicatie zal uit elkaar gehaald worden. Op deze manier zal de werking van de applicatie precies achterhaald kunnen worden. Eventuele logische fouten of andere problemen zijn dan terug te vinden in het programma. Indien deze inderdaad gevonden worden zal ook dit in de rapportage geplaatst worden.

Vulnerability discovery

In applicaties kunnen een behoorlijk aantal verschillend soorten kwetsbaarheden voorkomen. Naar al dit soort kwetsbaarheden zal worden gezocht. Iedere kwetsbaarheid dat gevonden wordt zal terugkomen in het rapport en net als bij de netwerk audit zal er een risicofactor aan worden toegewezen met als mogelijke waarden: Laag, Gemiddeld, Hoog of Kritiek. Indien een kwetsbaarheid kan worden misbruikt zal hier een voorbeeld van meegeleverd worden in de vorm van een Proof of Concept.