Er zijn diverse type pentests. De verschillen tussen de types zijn grotendeels gerelateerd aan de (technische) informatie die vooraf verstrekt wordt. In de markt worden helaas geen eenduidige definities toegepast. Wij hanteren de volgende definities:
Black box pentest
Zonder (aangeleverde) authenticatiemiddelen (inloggegevens) en/of technische informatie zoals documentatie.
Grey box pentest
Met authenticatiemiddelen (inloggegevens) voor een of meerdere gebruikersrollen en/of technische informatie zoals documentatie.
Bij scenario gebaseerde pentests en het scenario dat inloggegevens verkregen zijn (assumed breach) door bijvoorbeeld een succesvolle social engineering-aanval (zoals phishing), is er ook sprake van het gray box perspectief.
White box pentest
Met ondersteunende toegang tot relevante configuratie en/of broncode. Veelal gecombineerd met authenticatiemiddelen (inloggegevens) voor een of meerdere gebruikersrollen en/of gedetailleerde (ontwerp)documentatie.
Waarom een pentest?
Een pentest geeft waardevolle inzichten in technische onvolkomenheden, verbetermogelijkheden en risico's. De toename van het veiligheidsniveau blijft echter afhankelijk van de opvolging van de uitkomsten. Hierdoor wordt veelal de meeste winst bewerkstelligd als er een intrinsieke motivatie aan ten grondslag ligt. Het periodiek uitvoeren van securitytesten heeft dan ook een plek in een volwassen informatiebeveiligingsbeleid.
Daarnaast kunnen er contractuele verplichtingen tot securitytesten bestaan en/of dit voorgeschreven zijn door geldende wet- en regelgeving. DigiD aansluithouders en MedMij-deelnemers moeten bijvoorbeeld voldoen aan normen welke pentests voorschrijven. Zo ook in de Payment Card Industry Data Security Standard (PCI DSS) dat van toepassing is voor websites die zelfstandig creditcardgegevens verwerken. Een ander voorbeeld is de Baseline Informatiebeveiliging Overheid (BIO) die van toepassing is voor alle overheidslagen.