Terug naar Pentesten
    Retest na Pentest

    Retest na Pentest: 100% Bevestiging dat uw Fix Werkt

    Na een pentest weet uw team wat er kwetsbaar is. Maar weten of de fix daadwerkelijk werkt is een andere vraag. Soms pakken teams bevindingen aan met interne resources, eenvoudige scanners of beschikbare tooling. Die geven een signaal, maar geen zekerheid: een tool die de kwetsbaarheid niet meer detecteert, bewijst niet dat een aanvaller er ook niet meer door kan.

    Een retest is een gerichte herhaling door dezelfde ethische hacker: iemand die de oorspronkelijke kwetsbaarheid kent, de context begrijpt en opnieuw actief probeert in te breken op precies die plek. Pas dan heeft u de bevestiging die uw technisch team, uw management en uw auditor mogen verwachten.

    Retest AanvragenNeem Contact Op

    Wanneer vraagt u een retest aan?

    Uw team heeft bevindingen uit een pentest aangepakt en wil bevestiging dat de fixes werken
    Een auditor (NIS2, ISO 27001, SOC 2) vraagt schriftelijk bewijs van remediatie
    U heeft een patch uitgerold en wil weten of de kwetsbaarheid effectief gesloten is
    Uw interne scan of tooling rapporteert geen issues meer, maar u wil menselijke validatie
    U staat voor een nieuwe release en wil bevestigen dat kwetsbare componenten niet meer exploiteerbaar zijn

    Waarom is menselijke validatie bij een retest onmisbaar?

    Scanners bevestigen het signaal, niet de fix

    Een scanner detecteert of een bekende kwetsbaarheidssignatuur aanwezig is. Als de signature verdwijnt na een patch, rapporteert de scanner geen probleem. Maar een menselijke tester probeert de aanval opnieuw uit, inclusief varianten en omwegen. Die diepgang is het verschil tussen een melding die zegt 'niet gedetecteerd' en een mens die zegt 'niet exploiteerbaar'.

    Tooling mist context en aanvalsketens

    Geautomatiseerde testtools, inclusief AI-gestuurde oplossingen, verbeteren snel in het vinden van bekende patronen. Ze begrijpen niet hoe de oorspronkelijke kwetsbaarheid in uw specifieke applicatie werkte, welke omwegen de aanvaller kon nemen, of de fix een nieuw zwak punt introduceert. Een hacker die het originele exploitpad kent, test alle varianten.

    Business logic-fixes zijn niet scanbaar

    Fouten in bedrijfslogica, toegangscontrole en autorisatie worden door scanners gemist bij ontdekking, en bij validatie evenzeer. Als uw fix een autorisatieregel aanpast of een flow herschrijft, is een handmatige hertester de enige betrouwbare manier om te bevestigen dat het misbruikpad gesloten is.

    Auditklaar bewijs vereist een menselijke handtekening

    Een NIS2-auditor of ISO 27001-reviewer accepteert geen scanoutput als bewijs van remediatie. Een schriftelijk hertestrapport van een gecertificeerde ethische hacker, met per bevinding een bevestiging open of gesloten, is het document dat uw complianceteam kan overhandigen.

    Hoe verloopt een retest bij Sectricity?

    Scope bepalen

    We nemen het oorspronkelijke pentestrapport als uitgangspunt. Samen bepaalt u welke bevindingen geretestet worden: alle kritieke en hoge risico's, een selectie, of een uitgebreide delta inclusief nieuwe componenten.

    Gericht hertesten

    Dezelfde technieken als de originele test, gefocust op de specifieke kwetsbaarheden. De hacker probeert actief de fix te omzeilen, inclusief aanverwante aanvalsvectoren die bij de eerste test zijn genoteerd.

    Validatierapport

    Per bevinding een duidelijke status: gesloten, gedeeltelijk gesloten, of nog open. Met technische onderbouwing, reproductiebewijs en een bijgewerkte CVSS-score waar relevant.

    Auditpakket

    Executive summary voor management. Technische bevestiging voor uw ontwikkelteam. Compliance-documentatie voor uw auditor. Alles in één rapport, klaar om te gebruiken.

    Retest vs. intern valideren: wat is het verschil?

    Intern valideren

    Bevestigt een fix op signaalniveau. Test geen actieve exploiteerbaarheid. Valideert geen business logic-fixes. Geen auditklaar rapport. Menselijke verificatie afhankelijk van interne expertise.

    Scanner of tooling

    Bevestigt afwezigheid van signatuur. Test geen exploiteerbaarheid. Kan logica- of autorisatiefixes niet valideren. Output wordt niet geaccepteerd als auditbewijs. Geen menselijke verificatie.

    Sectricity Retest

    Bevestigt fix op signaalniveau. Test actieve exploiteerbaarheid. Valideert business logic- en autorisatiefixes. Levert auditklaar rapport. Altijd menselijk geverifieerd door gecertificeerde ethische hacker.

    Veelgestelde vragen

    Een retest is een gerichte herhaling van een pentest, uitgevoerd nadat uw team de bevindingen heeft aangepakt. Een gecertificeerde ethische hacker probeert opnieuw in te breken op de specifieke kwetsbaarheden uit het originele rapport. Het doel is niet het ontdekken van nieuwe kwetsbaarheden, maar het bevestigen dat de fixes effectief zijn en niet meer exploiteerbaar.

    Na ontvangst van de bevestiging dat de fixes zijn doorgevoerd, plannen we de retest doorgaans binnen vijf tot tien werkdagen in. Voor urgente situaties, zoals een nakende audit of een geplande release, stemmen we de timing af op uw deadline.

    Dat is een zinvolle eerste stap, zeker voor bekende kwetsbaarheden met een duidelijke signatuur. Maar scanners valideren het signaal, niet de exploiteerbaarheid. Business logic-fouten, IDOR en autorisatiefouten worden door geautomatiseerde tools niet betrouwbaar gevalideerd. Een menselijke retest bevestigt dat de aanval zelf niet meer slaagt.

    NIS2 Artikel 21 vereist aantoonbare technische beheersmaatregelen en bewijs dat risico's worden beheerst en opgevolgd. Een schriftelijk hertestrapport van een gecertificeerde pentester is het sterkste bewijs dat een gevonden kwetsbaarheid effectief is verholpen. ISO 27001 Annex A vereist vergelijkbare validatie van corrigerende maatregelen.

    Dan documenteren we dat in het rapport met de technische details waarom de fix niet volstaat en een bijgewerkte remediatie-aanbeveling. U ontvangt een nieuwe retest zodra de aangepaste fix is doorgevoerd.

    Ja. We hebben het oorspronkelijke pentestrapport nodig om de scope en bevindingen te begrijpen. Op basis daarvan bepalen we samen de retest-scope en tijdlijn.

    Zeker weten dat uw fix werkt?

    Vraag een retest aan en ontvang schriftelijke bevestiging per bevinding.

    Retest AanvragenNeem Contact Op