The way of reporting pentest results seems to be at a standstill. While pentesting is indeed the ideal way to identify risks and vulnerabilities, the pace of cyber threats’ evolution contrasts with the somewhat stagnant nature of our pentesting processes.
At Zolder, we strongly believe this crucial aspect of the security process deserves more attention and innovation. What exactly do we mean? One of the main limitations of a pentest is that it often concludes upon delivering the report. A pentest is conducted, findings are discovered, and these are then detailed in a report proposing solutions. The result usually ends up as a static PDF, packed with valuable information but merely offering a snapshot of the security status at the time of examination.
But what happens next? Without further guidance or communication, this report often lands in a (digital) drawer, sporadically reviewed, and rarely fully implemented, let alone the solutions being retested. At Zolder, we aim to elevate our clients to higher security levels rather than just providing information. Hence, we’ve recently started utilizing a portal. This platform is designed to bridge the traditional gaps and elevate pentesting to a new level of engagement and efficiency, with the following objectives:
- Centralizing all pentest information in one place.
- Real-time insight into findings during the test.
- Open and direct communication with developers and administrators for optimal results.
- Retesting as a standard part of the pentest.
- Less time spent on reporting, more time for actual testing.
- Simplified transition between pentesters.
- Streamlined collaboration with different teams within your organization.
Instead of a single handover point involving a PDF, the portal offers a dynamic environment where clients can respond to findings, ask questions, and request retests directly. Findings and reports cease to be static entities; they can be updated with new information, enabling organizations to take real-time action. Additionally, we routinely ask clients for their communication preference via Slack or Teams. This not only ensures streamlined communication but also offers complete insight and transparency into the test’s progress. We don’t see ourselves merely as external pentesters but rather as our clients’ dedicated security partners. We’re here to guide, advise, and, most importantly, assist in building sustainable resilience against cyber risks. The portal aids us in this endeavor.
The current form of the pentest process provides valuable insights, but there’s so much more potential if we look beyond the traditional pentest approach. At Zolder, we want to contribute to the cultural shift towards using pentesting for continuous improvement and resilience against cyber risks. This is how we view Pentesting-as-a-Service.
What do you think: How do you envision the future of pentesting? Is the current pentest process outdated due to insufficient focus on post-pentest actions? Or is this something that inherently should occur after the pentest, solely left to the client organization?
Pentesting-as-a-Service: rapporten zijn ouderwets
De manier van rapporteren van pentestresultaten lijkt stil te staan. Dat terwijl pentesten in feite de ideale manier is om risico’s en kwetsbaarheden te identificeren. Maar terwijl de cyberdreigingen in een hoog tempo veranderen, lijkt de manier waarop we het pentestproces inrichten soms stil te staan.
Bij Zolder zijn we ervan overtuigd dat deze cruciale schakel binnen het securityproces meer aandacht en innovatie verdient. Wat bedoelen we hier precies mee? Eén van de voornaamste beperkingen van een pentest is dat de pentest vaak stopt bij het opleveren van het rapport. Er wordt een pentest uitgevoerd, er worden bevindingen gedaan en deze worden vervolgens uitgeschreven in een gedetailleerd rapport met een voorstel oplossing. Het resultaat is dus meestal een statische PDF die, hoewel vol met waardevolle informatie, slechts een momentopname biedt van het securityniveau van hetgeen wat onderzocht is.
Maar wat gebeurt er daarna? Zonder verdere begeleiding of communicatie belandt dit rapport vaak in een (digitale) la, slechts af en toe geraadpleegd en zelden volledig geïmplementeerd. Laat staan dat de oplossingen ge-hertest worden. Bij Zolder streven we ernaar onze klanten te helpen naar een hoger securityniveau en niet slechts naar informatieverstrekking. Daarom maken we sinds kort gebruik van een portaal. Dit platform is ontworpen om de traditionele tekortkomingen te overbruggen en pentesting naar een nieuw niveau van betrokkenheid en efficiëntie te tillen, met de volgende doelen:
- Alle informatie van jouw pentesten op één centrale plek.
- Real-time inzicht in de bevindingen tijdens de test.
- Open en directe communicatie met ontwikkelaars en beheerders voor optimaal resultaat.
- Hertesten als standaard onderdeel van de pentest.
- Minder tijd nodig voor rapporteren, meer tijd voor daadwerkelijk testen.
- Vereenvoudigd afwisselen tussen pentesters.
- Vereenvoudigd samenwerking met verschillende teams binnen uw organisatie
In plaats van één overdrachtspunt waarbij een PDF wordt overlegd, biedt het portaal een dynamische omgeving waar klanten kunnen reageren op bevindingen, vragen kunnen stellen en direct hertests kunnen aanvragen. Bevindingen en rapporten zijn geen statische entiteiten meer. Ze kunnen worden bijgewerkt met nieuwe informatie, waardoor organisaties real-time actie kunnen ondernemen. Daarnaast vragen wij standaard aan de klant of zij voorkeur hebben voor communicatie via Slack of Teams. Op die manier zijn er niet alleen korte lijntjes voor wat betreft communicatie, maar ook volledige inzage en transparantie in het verloop van de test. We zien onszelf niet als externe pentesters maar liever als de vaste securitypartner van onze klanten. We zijn er om te begeleiden, adviseren en, vooral om te helpen bij het opbouwen van duurzame weerbaarheid tegen cyberrisico’s. Het portaal helpt ons hierbij.
Het pentestproces in zijn huidige vorm biedt waardevolle inzichten, maar er is zoveel meer potentieel als we verder kijken dan het traditionele pentestproces. Bij Zolder willen we een bijdrage leveren aan de cultuurshift naar een cultuur van het inzetten van pentesting voor een continue verbetering en weerbaarheid tegen cyberrisico’s. Zo zien wij Pentesting-as-a-Service. Wat denken jullie: Hoe zie jij de toekomst van pentesting? Is het huidige pentestproces achterhaald doordat er te weinig aandacht is aan wat er gebeurt na de pentest? Of is dat iets wat per definitie na de pentest moet gebeuren en enkel aan de klantorganisatie moeten worden overgelaten?