Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Hertest

Processen

Vervolgtest om na te gaan of de zwakke plekken die men eerder bij een penetratietest heeft gevonden, inderdaad weg zijn.

Een hertest is een gerichte vervolgtest die wordt uitgevoerd nadat de kwetsbaarheden uit een eerdere penetratietest zijn verholpen door het ontwikkelteam of de IT-afdeling. Het doel is om te verifieren dat de aangebrachte beveiligingsmaatregelen effectief zijn en dat de kwetsbaarheden daadwerkelijk niet meer exploiteerbaar zijn door een aanvaller. Een hertest is geen volledige nieuwe penetratietest, maar een gefocuste controle specifiek gericht op de eerder geidentificeerde beveiligingsproblemen en de directe omgeving daarvan om regressies en onbedoeld geintroduceerde problemen te ontdekken.

In de praktijk blijkt dat niet alle patches en fixes de kwetsbaarheid volledig verhelpen. Soms introduceert een fix een nieuwe kwetsbaarheid, wordt de oorspronkelijke kwetsbaarheid slechts gedeeltelijk opgelost waardoor een variatie nog steeds werkt, of is de fix incorrect geimplementeerd waardoor het probleem in een andere vorm terugkeert. De hertest geeft zekerheid dat de investering in herstelmaatregelen daadwerkelijk het beoogde resultaat heeft opgeleverd. Voor organisaties die werken met het CCV-keurmerk voor cybersecurity is een hertest een aanbevolen onderdeel van het penetratietestproces, hoewel het formeel geen verplicht onderdeel is van de certificeringsprocedure zelf.

Hoe werkt een hertest? Stappen

Een hertest volgt een gestructureerd proces dat begint met de bevindingen uit de oorspronkelijke penetratietest en de documentatie van de uitgevoerde herstelmaatregelen. De eerste stap is het reviewen van het oorspronkelijke pentestrapport en het vaststellen welke remediatie-acties zijn ondernomen voor elke bevinding. De tester beoordeelt welke technische maatregelen zijn geimplementeerd, welke bevindingen zijn geadresseerd en welke eventueel zijn geaccepteerd als restrisico, en plant de hertest op basis van deze informatie en de ernst van de oorspronkelijke bevindingen.

In de tweede stap voert de tester de specifieke exploitatiepogingen opnieuw uit die in de oorspronkelijke test tot een bevinding leidden. Dit omvat dezelfde technieken, tools en aanvalsroutes als de oorspronkelijke test, zodat een directe vergelijking mogelijk is. Als de oorspronkelijke test bijvoorbeeld een SQL-injection kwetsbaarheid aantoonde in een specifiek webformulier, test de hertester hetzelfde formulier met dezelfde en vergelijkbare injection-payloads om te verifieren dat alle varianten effectief zijn gedicht.

De derde stap omvat een beperkte scope-uitbreiding rondom de gerepareerde kwetsbaarheden. De tester controleert of de fix niet alleen de specifieke aanvalsvector blokkeert, maar ook variaties en gerelateerde aanvalspatronen effectief tegengaat. Een patch die een specifieke SQL-injection payload blokkeert maar andere varianten doorlaat is onvoldoende als herstel. De tester verifieert ook dat de fix geen nieuwe kwetsbaarheden heeft geintroduceerd in de directe omgeving van de wijziging, bijvoorbeeld door inputvalidatie die een denial-of-service mogelijkheid creert of een bypass introduceert.

De vierde stap is het opstellen van het hertest-rapport. Dit rapport bevat per oorspronkelijke bevinding de actuele status (verholpen, deels verholpen, niet verholpen of niet meer van toepassing), technisch bewijs van de hertest inclusief screenshots en relevante logs, een risicobeoordeling van eventuele resterende kwetsbaarheden, en aanbevelingen voor aanvullende maatregelen waar nodig. Het rapport dient als formeel bewijs dat de organisatie haar kwetsbaarheden heeft aangepakt en vormt een belangrijk compliance-document bij audits.

Wanneer voer je een hertest uit?

De timing van een hertest is belangrijk voor de effectiviteit en bruikbaarheid van de resultaten. Voer een hertest uit nadat alle of de meeste kritieke en hoge kwetsbaarheden zijn verholpen, doorgaans twee tot zes weken na ontvangst van het oorspronkelijke pentestrapport. Te vroeg hertesten leidt tot een incompleet beeld omdat nog niet alle fixes zijn doorgevoerd en getest door het ontwikkelteam. Te laat hertesten vergroot het risicovenster waarin kwetsbaarheden nog bestaan en door een aanvaller geexploiteerd kunnen worden.

Compliance-eisen kunnen de timing van een hertest beinvloeden. Bij certificeringen zoals ISO 27001 of het CCV-keurmerk kan een hertest nodig zijn om aan te tonen dat bevindingen zijn opgepakt binnen de gestelde termijn. NIS2 vereist dat organisaties passende maatregelen nemen om risicos te beheersen, en een hertest is een effectieve en concrete manier om aan te tonen dat geidentificeerde risicos daadwerkelijk zijn gemitigeerd en niet alleen op papier zijn afgehandeld.

Voer een hertest ook uit na significante wijzigingen in de geteste omgeving, zoals een migratie naar een nieuw platform, een grote update van de applicatie of een wijziging in de netwerkconfiguratie die invloed heeft op de eerder geteste systemen. Deze wijzigingen kunnen eerder verholpen kwetsbaarheden opnieuw introduceren of nieuwe aanvalsoppervlakken creeren die gerelateerd zijn aan de oorspronkelijke bevindingen en daardoor binnen de scope van de hertest vallen.

In een DevSecOps-omgeving kan hertesting ook geautomatiseerd worden ingericht als onderdeel van de CI/CD-pipeline voor continue beveiliging. Geautomatiseerde vulnerability scans draaien bij elke deployment en controleren of eerder geidentificeerde kwetsbaarheden niet opnieuw worden geintroduceerd door codewijzigingen. Dit vervangt de handmatige hertest niet volledig maar biedt continue bewaking tussen periodieke penetratietesten en verkleint het risico op regressies aanzienlijk door vroege detectie van terugkerende problemen.

Wat kost een hertest?

De kosten van een hertest liggen doorgaans aanzienlijk lager dan die van de oorspronkelijke penetratietest, omdat de scope beperkter en het doel specifieker is dan bij een volledige pentest. Een hertest kost gemiddeld 20-40% van de oorspronkelijke penetratietest. Bij een webapplicatie-pentest van 5.000-10.000 euro komt de hertest uit op 1.000-4.000 euro, afhankelijk van het aantal bevindingen dat gecontroleerd moet worden en de complexiteit ervan.

Sommige penetratietest-aanbieders bieden een hertest aan als onderdeel van het totaalpakket, tegen een vast tarief of zelfs inclusief in de prijs van de oorspronkelijke test. Dit is een praktijk die steeds gebruikelijker wordt in de Nederlandse markt, omdat het de drempel verlaagt voor organisaties om daadwerkelijk een hertest uit te voeren in plaats van het over te slaan vanwege de extra kosten die een aparte hertest met zich meebrengt.

De kosten worden beinvloed door het aantal bevindingen dat hertested moet worden, de complexiteit van de geteste omgeving, de vereiste diepgang van de hertest, en of de hertest on-site of remote kan worden uitgevoerd. Bij complexe netwerkomgevingen met meerdere segmenten en systemen liggen de kosten hoger dan bij een enkele webapplicatie die remote toegankelijk is voor de tester.

Het is belangrijk om de kosten van een hertest af te zetten tegen het risico van onontdekte resterende kwetsbaarheden in je systemen. Een kwetsbaarheid die als verholpen wordt beschouwd maar dat in werkelijkheid niet is, geeft een vals gevoel van veiligheid dat gevaarlijker kan zijn dan de oorspronkelijke situatie omdat het urgentiebesef afneemt. De kosten van een beveiligingsincident door een vermeend verholpen kwetsbaarheid overstijgen de kosten van een hertest met ordes van grootte.

Veelgestelde vragen over hertest

Wat is het verschil tussen een hertest en een nieuwe penetratietest?

Een hertest focust specifiek op het verifieren van eerder gevonden en verholpen kwetsbaarheden uit het eerdere rapport. Een nieuwe penetratietest is een volledige test met een brede scope die ook actief zoekt naar nieuwe kwetsbaarheden. Een hertest is korter, goedkoper en specifieker gericht dan een volledige pentest.

Is een hertest verplicht na een penetratietest?

Een hertest is niet wettelijk verplicht maar wordt sterk aanbevolen door security-professionals en certificeringsinstanties. Bij certificeringen zoals ISO 27001 wordt verwacht dat bevindingen worden opgepakt en geverifieerd. Het CCV-keurmerk voor cybersecurity noemt de hertest als aanbevolen onderdeel van het pentestproces.

Hoe lang duurt een hertest?

Een hertest duurt doorgaans een tot drie werkdagen, afhankelijk van het aantal bevindingen dat geverifieerd moet worden en de complexiteit van de geteste omgeving. Dit is aanzienlijk korter dan de oorspronkelijke penetratietest, die vaak vijf tot tien werkdagen in beslag neemt.

Wie voert de hertest uit?

Bij voorkeur voert hetzelfde testteam de hertest uit dat de oorspronkelijke penetratietest heeft gedaan. Zij kennen de context, de specifieke aanvalspaden en de technische nuances van de bevindingen. Als dat niet mogelijk is moet het oorspronkelijke rapport voldoende technisch detail bevatten voor een ander gekwalificeerd team.

Wat als de hertest nieuwe kwetsbaarheden ontdekt?

Wanneer een hertest nieuwe kwetsbaarheden onthult die gerelateerd zijn aan de aangebrachte fixes, worden deze opgenomen in het hertest-rapport met een eigen risicoclassificatie en prioritering. De organisatie lost deze op en plant eventueel een aanvullende hertest. Dit iteratieve proces gaat door totdat alle bevindingen adequaat zijn verholpen.

Vind een specialist voor hertesting. Vergelijk Pentesting aanbieders op IBgidsNL.