Time box

Een time box is een vooraf vastgestelde, onveranderlijke tijdsperiode waarbinnen een specifieke activiteit moet worden afgerond. In cybersecurity wordt timeboxing met name toegepast bij penetratietesten, security assessments en agile beveiligingsprocessen. Het principe is eenvoudig maar krachtig: in plaats van een taak te laten duren totdat die klaar is, stel je vooraf een tijdslimiet vast en werk je binnen dat kader zo effectief mogelijk. Dit dwingt focus af op de hoogste prioriteiten en voorkomt dat beveiligingsactiviteiten eindeloos doorlopen zonder concrete resultaten op te leveren.

Hoe werkt time box? Stappen

Het timeboxing-proces begint met het vaststellen van de scope en het tijdskader. Bij een time-boxed penetratietest bepaal je vooraf hoeveel dagen of uren de test duurt, welke systemen binnen scope vallen en welke aanvalstechnieken mogen worden ingezet. De pentester moet binnen deze tijdslimieten werken en rapporteert over de bevindingen die in de beschikbare tijd zijn gedaan.

Tijdens de uitvoering volgt een gestructureerd proces. De eerste fase is reconnaissance, waarbij de tester informatie verzamelt over het doelwit. In een time-boxed aanpak is deze fase vaak beperkt tot een vast percentage van de totale tijd, bijvoorbeeld 20 procent. De resterende tijd wordt besteed aan het actief testen van kwetsbaarheden, het exploiteren van gevonden zwakheden en het documenteren van resultaten.

Prioritering is de sleutel tot effectief timeboxing. Omdat de tijd beperkt is, moet je focussen op de systemen en aanvalsvectoren met het hoogste risico. Dit vereist ervaring en een goed begrip van de dreigingscontext van de organisatie. Een ervaren pentester weet welke technieken in de beschikbare tijd de meeste waarde opleveren en richt zich op de critical assets van de organisatie.

Na afloop van de time box volgt een evaluatie. Wat is er gevonden, wat is er niet onderzocht vanwege tijdgebrek, en welke aanbevelingen volgen uit de bevindingen? De rapportage geeft expliciet aan welke gebieden binnen de time box zijn getest en welke buiten scope zijn gebleven. Dit geeft de opdrachtgever een eerlijk beeld van de dekking en helpt bij het plannen van vervolgactiviteiten.

Wanneer voer je time box uit?

Timeboxing is bij uitstek geschikt voor regelmatig terugkerende beveiligingsactiviteiten. Kwartaal- of maandelijkse time-boxed pentests bieden een continu beeld van de beveiligingshouding van een organisatie, zonder het budget en de planning te belasten van een uitgebreide jaarlijkse audit. Dit past goed bij een continue beveiligingsaanpak waarbij security een doorlopend proces is.

Bij agile softwareontwikkeling is timeboxing een kernprincipe. Sprints van twee tot vier weken zijn time boxes waarbinnen ook beveiligingsactiviteiten worden ingepland. Een security review van nieuwe functionaliteit wordt als time-boxed activiteit opgenomen in de sprint, zodat beveiliging niet als afterthought wordt behandeld maar integraal onderdeel is van het ontwikkelproces.

Timeboxing is ook effectief voor incident response-activiteiten. Bij het onderzoeken van een beveiligingsincident kun je time boxes instellen voor de verschillende fasen: triage binnen het eerste uur, initieel onderzoek binnen vier uur, uitgebreide analyse binnen 24 uur. Dit voorkomt dat een onderzoek eindeloos doorloopt en zorgt voor tijdige escalatie en communicatie naar stakeholders.

Compliancetrajecten lenen zich eveneens voor timeboxing. Een risicobeoordeling die je timeboxed tot twee weken levert eerder resultaten op dan een open-ended assessment dat maanden kan duren. De time box dwingt je om pragmatische keuzes te maken en te focussen op de belangrijkste risico's in plaats van te streven naar een theoretisch perfect maar praktisch onhaalbaar resultaat.

Wat kost time box?

De kosten van time-boxed activiteiten zijn per definitie voorspelbaar, wat een van de belangrijkste voordelen is. Bij een time-boxed penetratietest betaal je voor het afgesproken aantal dagen of uren, ongeacht of de tester alle systemen heeft kunnen onderzoeken. Een typische time-boxed pentest van vijf dagen kost tussen de 5.000 en 15.000 euro, afhankelijk van de complexiteit en het ervaringsniveau van de tester.

Vergelijk dit met een scope-based penetratietest, waarbij de kosten afhangen van het aantal systemen, applicaties en endpoints dat wordt getest. Bij een scope-based aanpak kunnen de kosten oplopen als de scope groter blijkt dan verwacht of als onverwachte complexiteit wordt aangetroffen. Timeboxing elimineert dit risico door het budget vooraf vast te leggen.

Voor agile security-activiteiten zijn de kosten afhankelijk van de frequentie en de duur van de time boxes. Een wekelijkse security review van twee uur door een externe specialist kost circa 300 tot 600 euro per week. Op jaarbasis is dit vergelijkbaar met een uitgebreide jaarlijkse pentest, maar levert het een continu beveiligingsbeeld op in plaats van een momentopname.

Bij het bepalen van het budget voor time-boxed activiteiten weeg je de kosten af tegen het risico. Een time box die te kort is, levert oppervlakkige resultaten op. Een time box die te lang is, verliest het voordeel van focus en budgetbeheersing. De optimale duur hangt af van de omvang en complexiteit van je omgeving, de volwassenheid van je beveiligingsmaatregelen en de specifieke doelstellingen van de activiteit.

Veelgestelde vragen over time box

Wat is het verschil tussen een time-boxed en een scope-based pentest?

Bij een time-boxed pentest staat de duur vast en wordt getest wat binnen die tijd mogelijk is. Bij een scope-based pentest staat de scope vast en duurt de test zo lang als nodig is om alles te testen. Timeboxing biedt budgetzekerheid maar kan leiden tot onvolledige dekking. Scope-based biedt volledige dekking maar kan duurder uitvallen dan verwacht.

Hoe bepaal je de juiste lengte van een time box?

De lengte hangt af van de complexiteit van het doelwit en de doelstellingen. Voor een externe pentest op een webapplicatie is drie tot vijf dagen gangbaar. Voor een interne netwerktest is vijf tot tien dagen gebruikelijk. Bespreek met de uitvoerende partij welke dekking realistisch is binnen het gekozen tijdskader en pas aan op basis van de eerste resultaten indien nodig voor volgende iteraties.

Is een time-boxed pentest minder grondig?

Niet per definitie. Een ervaren pentester prioriteert effectief en test de belangrijkste aanvalsvectoren eerst. Wat je wel mist, is volledige dekking van alle systemen. Dit compenseer je door time-boxed testen regelmatig te herhalen en elke keer een ander focusgebied te kiezen, waardoor je over tijd een compleet beeld opbouwt.

Kan je timeboxing combineren met automatische scans?

Ja, dit is zelfs een best practice. Automatische vulnerability scans dekken de breedte af, terwijl de time-boxed manuele test de diepte levert. De scanner identificeert potentiele kwetsbaarheden over het hele aanvalsoppervlak, en de pentester gebruikt de time box om de meest kritieke bevindingen handmatig te verifiëren en te exploiteren.

Wordt timeboxing ook in DevSecOps toegepast?

Ja, in DevSecOps is timeboxing een veelgebruikt principe. Security gates in de CI/CD-pipeline zijn time-boxed: een automatische security scan moet binnen een vastgesteld tijdsvenster worden afgerond, anders faalt de pipeline. Dit voorkomt dat beveiligingscontroles de release-cyclus onnodig vertragen terwijl er toch structurele aandacht is voor security.

Vind een specialist voor time-boxed penetratietesten via Penetratietesten op IBgidsNL.